[ad_1]

Editeur de logiciel de paie Apex Gestion du capital humain a subi une attaque de ransomware cette semaine qui a interrompu les services de gestion de la paie de centaines de clients de l’entreprise pendant près de trois jours. Face à la menace d’une panne prolongée, Apex a choisi de payer la demande de rançon et de commencer le processus de restauration du service aux clients.

Basé à Roswell, en Géorgie Apex HCM est une société de logiciels de paie basée sur le cloud qui dessert quelque 350 bureaux de services de paie qui, à leur tour, fournissent des services de paie aux petites et moyennes entreprises. À 4 heures du matin le mardi 19 février, Apex a été alerté que ses systèmes avaient été infectés par une souche destructrice de ransomware qui crypte les fichiers informatiques et exige le paiement d’une clé numérique nécessaire pour déchiffrer les données.

L’entreprise a rapidement mis tous ses systèmes hors ligne et a commencé à informer les clients qu’elle tentait de remédier à une menace de sécurité. Au cours d’une série de mises à jour bi-horaires, Apex a continué à estimer qu’il s’attendait à rétablir le service dans quelques heures, seulement pour devoir revenir sur ces estimations presque toutes les autres fois qu’une nouvelle mise à jour client était publiée.

Contacté mercredi par un client Apex qui craignait de ne pas pouvoir effectuer la paie de cette semaine pour ses clients, BreachTrace a contacté Apex pour obtenir des commentaires. Ian Oxmanle directeur marketing de l’entreprise, a déclaré que le ransomware n’a jamais touché les données des clients, mais a plutôt chiffré et perturbé tout dans les systèmes informatiques de l’entreprise et dans ses systèmes de reprise après sinistre hors site.

« Nous venions tout juste de terminer un plan de reprise après sinistre à la pointe de la technologie hors site et hors de l’état qui reflétait notre système en direct », a déclaré Oxman. « Mais lorsque la bombe ransomware a explosé, non seulement elle est passée et a infecté notre propre réseau, mais elle a ensuite été immédiatement récupérée sur notre site de reprise après sinistre, ce qui a rendu le basculement vers ce site inutilisable. »

Oxman a déclaré qu’Apex avait embauché deux sociétés de sécurité extérieures et, le 20 février, le consensus entre les trois était que le paiement de la rançon était le moyen le plus rapide de se remettre en ligne. La société a refusé de préciser combien a été payé ou quelle souche de ransomware était responsable de l’attaque.

« Nous avons payé la rançon, et ça a été nul », a déclaré Oxman. « Par respect pour nos clients qui avaient besoin de lancer leur entreprise, cela allait évidemment être le chemin le plus rapide. »

Malheureusement pour Apex, payer n’a pas complètement résolu ses problèmes. D’une part, a déclaré Oxman, la clé de déchiffrement qui leur a été donnée après avoir payé la rançon n’a pas fonctionné exactement comme promis. Au lieu de restaurer tous les fichiers et dossiers dans leur état préchiffré, le processus de déchiffrement a détruit d’innombrables répertoires de fichiers et rendu de nombreux fichiers exécutables inutilisables, ce qui a entraîné encore plus de retards.

« Lorsqu’ils chiffrent les données, cela se produit très rapidement », a-t-il déclaré. « Quand ils nous ont donné les clés pour le déchiffrer, les choses ne se sont pas déroulées aussi proprement. »

L’une des plus anciennes unités commerciales d’Apex — ACA à la demande – est toujours hors ligne, mais la société propose désormais de déplacer les clients de cette plate-forme vers des systèmes logiciels en tant que service plus récents (et plus coûteux) et de former ces clients à leur utilisation.

Les experts disent que des attaques comme celle contre Apex HCM se déroulent chaque jour dans le monde entier et se sont transformées en une entreprise d’un milliard de dollars pour les cyber-voleurs. Le plus grand groupe de victimes sont les entreprises de services professionnels, selon une étude Sécurité NTT.

Les victimes de ransomwares, peut-être dans la situation la plus difficile, incluent celles qui proposent l’hébergement de données dans le cloud et le logiciel en tant que service, car ces entreprises sont totalement incapables de servir leurs clients pendant qu’une infestation de ransomwares est active.

Le FBI et plusieurs entreprises de sécurité ont conseillé aux victimes de ne payer aucune demande de rançon, car cela ne fait qu’encourager les attaquants et, dans tous les cas, peut ne pas permettre de retrouver l’accès aux fichiers cryptés.

Dans la pratique, cependant, de nombreuses sociétés de conseil en cybersécurité exhortent discrètement leurs clients à dire que payer est le moyen le plus rapide de revenir au statu quo. Il n’est pas difficile de comprendre pourquoi : la rançon ou le vol des données des clients peut sonner le glas de l’activité basée sur le cloud, mais une interruption de plus de quelques jours peut souvent être tout aussi dévastatrice. En conséquence, la tentation de simplement payer peut devenir plus forte chaque jour qui passe, même si la seule chose à rançonner est un tas d’ordinateurs de bureau et de serveurs.

La veille de Noël 2018, société d’hébergement de données cloud Dataresolution.net a été touché par la souche Ryuk de ransomware. Plus d’une semaine plus tard, le 2 janvier 2019, ce blog rapportait que l’entreprise – qui avait choisi de ne pas payer la rançon et de tout restaurer à partir des sauvegardes – avait toujours du mal à remettre ses systèmes en ligne.

Un client de dataresolution.net a déclaré que l’entreprise n’avait pas réussi à reconstruire son serveur ou à remettre la base de données de son entreprise qui y était stockée jusqu’au 9 janvier, soit 16 jours après l’épidémie de ransomware.

« D’après ce que j’ai compris, il a fallu encore deux semaines pour que tous les clients soient reconstruits », a déclaré le client, qui travaille comme responsable informatique dans une société de gestion des avantages sociaux qui utilisait dataresolution.net et qui est maintenant en train de quitter l’entreprise. « Le fournisseur n’a jamais fourni d’analyse sur la façon dont cela s’est produit et comment il empêcherait que cela se reproduise. À part différents antivirus et ne permettant pas les connexions RDP à Internet, ils ne semblent pas avoir mis en place de protections supplémentaires. Ils n’ont pas offert de manière proactive aucune compensation pour la panne. Je suis en train de documenter l’impact financier sur l’entreprise d’une demande de « crédit » tout en planifiant l’intégration du système en interne. »

De son côté, Apex essaie toujours de déterminer comment le ransomware est entré dans ses systèmes.

« C’est là que cette analyse médico-légale est toujours en cours », a déclaré Oxman. «Pour nous, l’équipe d’intervention d’urgence a littéralement travaillé 48 heures d’affilée pour remettre nos systèmes en marche, et ensuite, elle essaie maintenant de comprendre ce qui s’est passé et comment empêcher que cela ne se reproduise. Nous venions de terminer un audit de sécurité et nous nous sentions plutôt bien. De toute évidence, ces cyber-pirates ont trouvé un moyen d’entrer, mais je suis sûr que c’est ainsi que chaque entreprise se sent touchée. »

Voici quelques conseils pour prévenir et traiter les attaques de ransomware :

-Patch, tôt et souvent : De nombreuses attaques de ransomware exploitent des failles de sécurité connues dans les serveurs et les postes de travail.

-Désactiver RDP : Abréviation de Remote Desktop Protocol, cette fonctionnalité de Windows permet à un système d’être administré à distance via Internet. Un nombre ridicule d’entreprises – en particulier les prestataires de soins de santé – sont touchées par des ransomwares car elles laissent RDP ouvert à Internet et sécurisé avec des mots de passe faciles à deviner. Et il existe un certain nombre de services criminels qui vendent l’accès à des installations RDP brutales.

-Filtrer tous les e-mails : Investissez dans des systèmes de sécurité capables de bloquer les fichiers exécutables au niveau de la passerelle de messagerie.

-Isolez les systèmes et données critiques : Cela peut être plus difficile qu’il n’y paraît. Il peut être utile de faire appel à une entreprise de sécurité compétente pour s’assurer que tout est bien fait.

-Sauvegarder les fichiers clés et les bases de données : Gardez à l’esprit que les rançongiciels peuvent crypter tous les fichiers ou dossiers du réseau ou du cloud qui sont mappés et auxquels une lettre de lecteur a été attribuée. La sauvegarde sur un système secondaire auquel aucune lettre de lecteur n’a été attribuée ou qui est déconnecté lorsqu’il ne sauvegarde pas de données est essentielle. L’ancienne règle de sauvegarde « 3-2-1 » entre en jeu ici : dans la mesure du possible, conservez trois sauvegardes de vos données, sur deux types de stockage différents, avec au moins une sauvegarde hors site.

-Désactiver les macros dans Microsoft Office : Bloquer le contenu externe dans les fichiers Office. Informez les utilisateurs que les rançongiciels réussissent très souvent uniquement lorsqu’un utilisateur ouvre une pièce jointe Office envoyée par e-mail et active manuellement les macros.

-Activer l’accès contrôlé aux dossiers : Créer des règles pour interdire l’exécution de fichiers exécutables dans Windows à partir de dossiers de profils d’utilisateurs locaux (App Data, Local App Data, ProgramData, Temp, etc.)

Des sites comme nomoreransom.org distribuent des outils et des didacticiels gratuits qui peuvent aider certaines victimes de ransomware à récupérer des fichiers sans payer de demande de rançon, mais ces outils ne fonctionnent souvent qu’avec des versions spécifiques d’une souche particulière de ransomware.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *