Parcourez les commentaires sur pratiquement n’importe quelle histoire d’attaque de ransomware et vous rencontrerez presque sûrement l’idée que l’organisation victime aurait pu éviter de payer ses extorqueurs si seulement elle avait eu des sauvegardes de données appropriées. Mais la triste vérité est qu’il existe de nombreuses raisons non évidentes pour lesquelles les victimes finissent par payer même lorsqu’elles ont presque tout fait correctement du point de vue de la sauvegarde des données.
Cette histoire ne concerne pas ce que font les organisations en réponse aux cybercriminels qui détiennent leurs données en otage, ce qui est devenu une pratique exemplaire parmi la plupart des principaux groupes criminels de rançongiciels aujourd’hui. Il s’agit plutôt de savoir pourquoi les victimes paient toujours pour une clé nécessaire pour déchiffrer leurs systèmes, même lorsqu’elles ont les moyens de tout restaurer à partir de sauvegardes par elles-mêmes.
Les experts disent que la principale raison pour laquelle les cibles de rançongiciels et/ou leurs assureurs continuent de payer alors qu’ils disposent déjà de sauvegardes fiables est que personne au sein de l’organisation victime n’a pris la peine de tester à l’avance la durée de ce processus de restauration des données.
« Dans de nombreux cas, les entreprises ont des sauvegardes, mais elles n’ont jamais essayé de restaurer leur réseau à partir de sauvegardes auparavant, elles n’ont donc aucune idée du temps que cela prendra », a déclaré Fabien Wosardirecteur technique chez Emsisoft. « Soudain, la victime remarque qu’elle a quelques pétaoctets de données à restaurer sur Internet, et elle se rend compte que même avec ses connexions rapides, il lui faudra trois mois pour télécharger tous ces fichiers de sauvegarde. De nombreuses équipes informatiques ne font même jamais un calcul au fond de la serviette du temps qu’il leur faudrait pour restaurer du point de vue du débit de données.
Wosar a déclaré que le deuxième scénario le plus courant implique des victimes qui ont des sauvegardes cryptées hors site de leurs données, mais découvrent que la clé numérique nécessaire pour décrypter leurs sauvegardes a été stockée sur le même réseau local de partage de fichiers qui a été crypté par le ransomware.
Le troisième obstacle le plus courant empêchant les organisations victimes de se fier à leurs sauvegardes est que les fournisseurs de rançongiciels parviennent également à corrompre les sauvegardes.
« C’est encore assez rare », a déclaré Wosar. « Cela arrive, mais c’est plus l’exception que la règle. Malheureusement, il est encore assez courant de finir par avoir des sauvegardes sous une forme ou une autre et l’une de ces trois raisons les empêche d’être utiles.
Bill SiegelPDG et co-fondateur de Vaisselleune entreprise qui négocie les paiements de ransomwares pour les victimes, a déclaré que la plupart des entreprises qui paient n’ont pas de sauvegardes correctement configurées, ou n’ont pas testé leur résilience ou leur capacité à récupérer leurs sauvegardes contre le scénario de ransomware.
« Ça peut être [that they] avoir 50 pétaoctets de sauvegardes… mais c’est dans une… installation à 30 miles.… Et puis ils commencent [restoring over a copper wire from those remote backups] et ça va vraiment lentement… et quelqu’un sort une calculatrice et se rend compte que ça va prendre 69 ans [to restore what they need]», a déclaré Siegel Kim Zetterun vétéran Filaire journaliste qui a récemment lancé une newsletter cybersécurité sur Substack.
« Ou il existe de nombreuses applications logicielles que vous utilisez réellement pour effectuer une restauration, et certaines de ces applications se trouvent sur votre réseau [that got] crypté », a poursuivi Siegel. « Donc, vous êtes comme, ‘Oh génial. Nous avons des sauvegardes, les données sont là, mais l’application pour effectuer la restauration est cryptée. Il y a donc toutes ces petites choses qui peuvent vous faire trébucher, qui vous empêchent de faire une restauration quand vous ne vous entraînez pas.
Wosar a déclaré que toutes les organisations doivent à la fois tester leurs sauvegardes et développer un plan pour prioriser la restauration des systèmes critiques nécessaires à la reconstruction de leur réseau.
« Dans de nombreux cas, les entreprises ne connaissent même pas leurs différentes dépendances réseau et ne savent donc pas dans quel ordre elles doivent restaurer les systèmes », a-t-il déclaré. « Ils ne savent pas à l’avance, ‘Hé si nous sommes touchés et que tout tombe en panne, ce sont les services et les systèmes qui sont prioritaires pour un réseau de base sur lequel nous pouvons nous appuyer.' »
Wosar a déclaré qu’il était essentiel que les organisations forment leurs plans de réponse aux violations lors d’exercices périodiques sur table, et que c’est dans ces exercices que les entreprises peuvent commencer à affiner leurs plans. Par exemple, a-t-il dit, si l’organisation a un accès physique à son centre de données de sauvegarde à distance, il peut être plus judicieux de développer des processus pour expédier physiquement les sauvegardes à l’emplacement de restauration.
« De nombreuses victimes se voient confrontées à devoir reconstruire leur réseau d’une manière qu’elles n’avaient pas anticipée. Et ce n’est généralement pas le meilleur moment pour élaborer ce genre de plans. C’est pourquoi les exercices sur table sont extrêmement importants. Nous vous recommandons de créer un playbook complet afin que vous sachiez ce que vous devez faire pour vous remettre d’une attaque de ransomware.