Résoudre le dilemme de la sauvegarde à la récupération des ransomwares

Les attaques de ransomware commencent à présenter aux environnements informatiques deux options très peu attrayants : effectuer une seule récupération complète qui perd en fait beaucoup de données, ou effectuer des centaines à des milliers de restaurations individuelles pour ramener votre environnement à quelque chose qui ressemble à la normalité. La raison de ces deux choix malheureux est que les ransomwares changent maintenant leur comportement une fois qu’ils infectent votre environnement. Cela présente un défi particulier lorsque vous essayez de restaurer vos données.

Une attaque de ransomware typique se compose de quatre phases: infection, expansion, cryptage et détection. La phase d’infection est assez facile à comprendre; c’est le moment où le premier ordinateur de votre environnement est infecté par un ransomware. Cela se produit généralement parce que quelqu’un a cliqué sur un e-mail qu’il n’aurait pas dû ouvrir ou aller sur un site Web qu’il n’aurait pas dû utiliser. Le logiciel malveillant initial est déployé sur l’ordinateur en question et il contacte ses serveurs de commande et de contrôle (C & C / C2) pour savoir quoi faire.

Historiquement, ces serveurs ordonnaient au malware de commencer immédiatement la phase de cryptage. Le malware commencerait à crypter autant de fichiers que possible, en particulier les fichiers récemment modifiés et les fichiers système importants. L’objectif était d’endommager le système le plus rapidement possible, puis d’envoyer un message de rançon pendant que le logiciel malveillant continuait à crypter d’autres données.

Cependant, de nombreuses variantes modernes de ransomware ont changé de tactique pour hiérarchiser expansion sur le cryptage. Une fois qu’un ordinateur de votre environnement a été infecté, on lui dira très probablement de donner la priorité à l’infection d’autres systèmes avant de chiffrer les fichiers qui entraîneraient la découverte du logiciel malveillant. Il utilisera diverses techniques pour tenter d’infecter d’autres systèmes, telles que l’utilisation d’outils courants tels que le protocole RDP (Remote Desktop Protocol), le système de fichiers réseau (NFS) ou le bloc de messages serveur (SMB). Il peut même commencer à cibler des systèmes spécifiques, tels que des serveurs de sauvegarde. S’il peut infecter le serveur de sauvegarde et le paralyser, les chances de payer la rançon augmentent de manière exponentielle.

Alors que le ransomware continue de tenter d’infecter le reste du centre de données, il peut également commencer à crypter des fichiers que personne ne remarquera. Il peut crypter des fichiers plus anciens, car les chances que quelqu’un y accède sont relativement faibles. Tout comme la phase d’expansion, la phase de cryptage veut maintenant donner la priorité au cryptage d’autant de fichiers que possible avant que quiconque ne se rende compte qu’ils ont été infectés.

Ce qu’il est important de comprendre sur le comportement des ransomwares, c’est que les deux phases d’expansion et de cryptage se produisent simultanément et peuvent prendre plusieurs semaines. Si le ransomware n’est pas détecté, il pourrait faire ces activités pendant des mois. Une étude récente de FireEye Mandiant a montré que le temps de séjour médian d’une attaque de ransomware typique est maintenant de 24 jours. Pendant tout ce temps, la souche de logiciels malveillants pourrait crypter des fichiers sur plusieurs ordinateurs pendant plusieurs jours.

Un comportement courant dans presque tous les produits de sauvegarde et de restauration est que les restaurations sont effectuées à partir d’un seul point dans le temps. Si vous ne pouvez restaurer un répertoire qu’à un seul point dans le temps, comment restaurer des centaines de fichiers qui ont été modifiés dans de nombreux répertoires pendant plusieurs semaines ? En outre, n’oubliez pas que vous devez restaurer le serveur à un point dans le temps avant il a été infecté pour dire adieu au ransomware.

Après vous être assuré de débarrasser l’ordinateur du logiciel malveillant lui-même, une restauration typique d’une attaque de ransomware impliquerait la suppression de tous les fichiers cryptés – potentiellement tous les fichiers dans un répertoire ou un système de fichiers donné. Ensuite, vous restaurez tout avant l’attaque. Vous ne voulez pas restaurer les fichiers cryptés (ou le logiciel malveillant), vous devez donc restaurer le répertoire ou le système de fichiers au moment où juste avant le début de l’attaque de ransomware.

C’est là que le dilemme vous est présenté. Laissez-vous le répertoire en question comme il le faisait avant l’infection (jetant tout travail depuis), ou essayez-vous d’identifier tous les fichiers qui ont été cryptés après l’infection et de restaurer chacun d’eux au moment où ils ont été cryptés? Pensez à quel point il serait difficile de le faire à travers des centaines de répertoires et de sous-répertoires et de nombreux jours ou semaines de temps.

Ce sera un moment de prise de conscience pour de nombreux produits de protection des données alors qu’ils trouvent comment résoudre ce défi. Demander à un client d’effectuer des centaines de restaurations pour ramener son annuaire à la normale ne fera qu’augmenter son incitation à payer la rançon. Tout le monde s’accorde à dire que le paiement de la rançon ne fait que valider l’activité criminelle et alimenter un cycle continu, de sorte que ce problème doit être résolu.

Pendant le Mois de la sensibilisation à la cybersécurité, il n’y a pas de meilleur moment pour contacter votre fournisseur de produits de sauvegarde préféré et lui demander comment il résoudrait ce problème. Même si leur réponse est  » nous n’en avons aucune idée « , il vaut mieux le savoir maintenant que de découvrir ce problème au milieu d’une attaque.

W Curtis Preston est évangéliste technique en chef chez Druva