Les success stories Databack : ransomware et récupération de données
Les ransomwares, ou logiciels de rançon, occupent toujours une grande partie du paysage cybercriminel. Ciblant sans distinction les administrations et les entreprises de toute taille, elles prennent en otage vos données afin de vous extorquer de l’argent. Ne cédez jamais ! Databack vous explique pourquoi…
Les logiciels de rançon à l’assaut des entreprises et des administrations
La recrudescence des ransomwares (ou rançongiciels) ne faiblit pas et s’affirme au fil des années. Cybermenace bien réelle planant sur les structures aussi bien publiques que privées, les ransomwares évoluent avec le temps, s’adaptent et gagnent à la fois en puissance et en complexité.
Les logiciels rançonneurs ciblent de manière équivalente les entreprises quelle que soit leur taille, depuis les TPE/PME jusqu’aux GE et grands groupes, ainsi que les administrations et entités publiques. Si toutes les structures sont concernées, les attaques s’adaptent néanmoins à leurs cibles : les demandes de rançons s’avèrent généralement proportionnelles à la taille de la structure visée.
En tant qu’entreprise de récupération de données, Databack est le témoin privilégié de cet état de fait. Nos ingénieurs et notre laboratoire permettent aux structures de faire face aux diverses attaques dont elles peuvent être victimes : chiffrement des données par cryptovirus, attaques sans chiffrement (encryption-free), etc.
Etude de cas 2020 : attaque d’une administration par ransomware
Parmi les nombreuses attaques par ransomwares traitées par Databack, une des plus marquantes est survenue ce premier semestre 2020 : notre intervention s’est faite pour le compte d’une administration (métropole du sud est de la France) qu’une attaque de grande ampleur avait complètement paralysée.
Contactés par la DSI (Directrice des Systèmes d’Information) pour évaluer l’ampleur des dommages et de la contamination, nous avons réalisé un état des lieux du matériel incriminé. Le constat dut sans appel : tous les secteurs du SI (Système d’Information) de l’administration étaient touchés.
L’attaque du logiciel d’extorsion avait dans un premier temps touché la couche de virtualisation des serveurs sous systèmes VMware et Hyper-V. De manière plus grave, elle avait également porté jusqu’au contenu des machines virtuelles et directement touché les données. Les systèmes de sauvegardes Veeam, dédiés aux environnements VMware et Hyper-V, avaient également été corrompus.
Intervention Databack : traitement de cette attaque ransomware
Afin de contrer au plus vite l’attaque de ce logiciel de rançon, une cellule de crise a été mise en place. En moins de 12 heures, nous avons procédé au ramassage des serveurs informatiques physiques les plus importants, en vue d’une intervention en laboratoire.
Notre expertise en récupération de données dans le cadre d’attaques par ransomwares nous a permis de rapidement relancer les applications les plus critiques. Le volume considérable de données par serveur nous a néanmoins contraint à faire des choix : en accord avec la DSI, nous avons planifié un programme de restitution des données en fonction de leur niveau critique.
Les bases de données SQL Server, Oracle, etc. corrompues par l’attaque ont pu être dans certains cas partiellement récupérées. Nos connaissances sur ces formats de fichiers nous ont permis d’extraire les tables par contenus, afin de les intégrer dans de nouvelles bases de données.
Et au final, au terme de plusieurs semaines de travail acharné… plus de 90% des données ont pu être récupérées !
Ce scénario de récupération de données fera sans nul doute partie des plus beaux succès de Databack. Bien que délicat, compliqué et exigeant, contrer un ransomware et récupérer des données contaminées représente toujours une énorme gratification pour nos équipes, dès lors que le résultat est à la hauteur du travail fourni !
22 juillet 2020