IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un hébergeur danois déclare que ses clients ont « perdu toutes leurs données »
Après une attaque par rençongiciel

Le , par Bruno

38PARTAGES

6  0 
CloudNordic, un fournisseur danois de services d’hébergement en cloud, a subi une grave attaque de ransomware qui a paralysé son activité et celle de ses clients. L’attaque a eu lieu le vendredi 18 août, alors que l’entreprise était en train de transférer ses systèmes vers un nouveau centre de données. Les cybercriminels ont profité de cette occasion pour activer une attaque dormante existante et accéder aux systèmes d’administration centraux et aux systèmes de sauvegarde de l’entreprise. Ils ont ensuite chiffré tous les disques des serveurs, ainsi que les systèmes de sauvegarde primaire et secondaire, ce qui a empêché l’accès à toutes les données hébergées par CloudNordic.

La plupart des chefs d'entreprise considèrent la perte de données comme leur principale préoccupation en matière de sécurité informatique. La fuite de données financières ou de données relatives aux clients menace la confiance de ces derniers, ce qui peut entraîner une perte de revenus à long terme. Comme les responsabilités en matière de sécurité sont partagées entre un fournisseur de services en cloud et un client, il existe toujours un risque de ne pas sécuriser correctement le réseau. Les serveurs doivent également être correctement équipés pour résister aux attaques DDoS.

CloudNordic a indiqué qu’elle n’avait pas l’intention de payer une rançon aux cybercriminels, mais qu’elle avait par ailleurs découvert qu’elle ne pouvait pas récupérer les données perdues. Elle a annoncé que la majorité de ses clients avaient perdu toutes leurs données chez elle, ce qui affecte notamment les sites web, les systèmes de messagerie et les systèmes clients.


« Nous sommes profondément affectés par la situation et sommes conscients que l'attaque est également très critique pour beaucoup de nos clients. Outre les données, nous avons aussi perdu tous nos systèmes et serveurs et avons eu des difficultés à communiquer. Nous avons maintenant rétabli les systèmes vierges, par exemple les serveurs de noms (sans données), les serveurs web (sans données) et les serveurs de messagerie (sans données) », a déclaré CloudNordic.

« Nous sommes prêts à rétablir les clients sur les mêmes serveurs de noms avec une interface d'administration DNS, ainsi que sur de nouveaux serveurs web (sans données) et serveurs de courrier (sans données), afin que les clients aient la possibilité de faire fonctionner à nouveau le courrier et le web, sans déplacer le domaine », poursuit l’entreprise spécialisée dans l’hébergement cloud.

Lors du déplacement des serveurs d'un centre de données à l'autre, les serveurs qui se trouvaient auparavant sur des réseaux distincts ont malheureusement été câblés pour accéder à notre réseau interne utilisé pour gérer l'ensemble de nos serveurs. Via le réseau interne, les cybercriminels ont pu accéder aux systèmes d'administration centrale et aux systèmes de sauvegarde.

Changement de tactique dans les attaques par rançongiciel

En 2021, 623,3 millions d'attaques de rançongiciel ont été recensées dans le monde, soit une augmentation de 105 % par rapport aux chiffres de 2020. La plupart de ces attaques ciblées de rançongiciel ont augmenté depuis le passage au télétravail et hybride. Toutefois, en 2022, le volume des attaques de rançongiciel a chuté de 23 %. Alors que les organisations estiment que la prévention en matière de rançongiciel contribue à prévenir ces crimes, ces derniers évoluent vers de nouveaux niveaux.

La plupart des groupes de rançongiciel optent pour le modèle de la double extorsion, en menaçant d'exposer les données compromises, afin de disposer d'un levier supplémentaire pour collecter les paiements de rançon. Ces attaques très médiatisées renforcent la sophistication des cyberattaques modernes et font peser de nouveaux dangers sur les organisations et les particuliers.

Les rançons demandées par les pirates augmentent, même si les attaques de rançongiciel diminuent. Le montant moyen d’une rançon en 2021 était de 570 000 dollars, contre 312 000 dollars en 2020 et 115 000 dollars en 2019. Les pirates demandent plus quand ils ciblent des personnes ou des entités importantes. Par exemple, LockBit a réclamé 80 millions de dollars à Royal Mail, soit 0,5 % de son chiffre d’affaires, pour déchiffrer ses fichiers. Dans une autre attaque en 2022 contre le gouvernement du Costa Rica, les pirates ont voulu 10 millions de dollars pour ne pas divulguer les données volées.

Outpost24 publie son rapport 2023 sur les évolutions et les tendances des groupes de rançongiciel les plus actifs. Le rapport montre que 2 363 entreprises ont été révélées par divers groupes de rançongiciel sur leurs sites de publication de données en 2022. Les victimes sont principalement situées dans les pays occidentaux riches, comme les États-Unis (42 %) et les pays européens (environ 28 %), car les opérateurs de RaaS espèrent obtenir des rançons plus importantes, mais cela ne signifie pas que les organisations moins riches sont épargnées.

Risques et menaces pour la sécurité de l'informatique en cloud

Le cloud computing offre de nouvelles opportunités aux entreprises qui souhaitent faire la transition. Toutefois, dans le même temps, cette technologie présente de nombreux défis qu'il convient de relever. La sécurité du cloud computing est toujours une responsabilité partagée. Les questions relatives aux menaces pesant sur la sécurité du cloud computing sont tout à fait justifiées, car toutes les données sensibles sont conservées en dehors des locaux de l’entreprise.

Toutefois, dans la plupart des cas, les données sont beaucoup plus sûres lorsqu'elles sont stockées dans le cloud que lorsqu'elles sont conservées sur l'appareil de l'utilisateur. En général, les données de l'infrastructure en cloud sont stockées sous une forme chifrée, ce qui signifie que toute personne ayant besoin d'accéder aux données doit disposer d'une clé numérique. Sans oublier que les données elles-mêmes sont stockées sur un vaste parc de serveurs avec de multiples sauvegardes. Cela permet de protéger les informations en cas de dysfonctionnement du serveur ou de cyberattaque.

Bien que l'infrastructure en cloud soit beaucoup plus sûre que le stockage sur appareil, il est important de noter qu'aucun système de sécurité n'est inviolable. Un large éventail de risques de cybersécurité s'applique à l'infrastructure en cloud et pourrait compromettre vos données.

Mauvaises configurations

L'infrastructure en cloud étant très complexe, il existe un risque réel d'oublier quelque chose lors de sa mise en place. Les organisations risquent de mal configurer leurs systèmes d'accès lorsqu'elles augmentent ou réduisent leurs opérations. Le fait de manquer des mises à jour importantes ou d'ignorer les lacunes de l'infrastructure existante peut également contribuer à des erreurs de configuration critiques.

Mauvais contrôles d'authentification

Les données sont aussi sûres que le composant le plus faible de leur chaîne. Si les employés n'ont besoin que d'un nom d'utilisateur et d'un mot de passe, ils peuvent être facilement exploités. En règle générale, la règle consiste à protéger les actifs sensibles par un niveau correspondant de mécanismes d'authentification. Plus les données sont sensibles, plus le nombre de couches d'authentification doit être élevé.

Détournement de compte par hameçonnage

Les pirates n'ont pas besoin de pénétrer dans les réseaux internes lorsque les données sont hébergées dans le cloud. Cela signifie qu'il suffit de détourner le compte d’un administrateur et de se faire passer pour lui pour obtenir un accès direct aux données hébergées dans le cloud. Cela demande moins d'efforts que de contourner les diverses défenses de cybersécurité qui pourraient être déployées en interne.

Insécurité des API

L'utilisation croissante des interfaces de programmation d'applications (API) crée une opportunité pour les pirates qui cherchent à s'introduire dans le réseau. Ce domaine doit faire l'objet d'une vérification minutieuse afin de détecter les vulnérabilités, les mauvaises pratiques de codage, l'absence d'authentification et l'insuffisance des autorisations. Ces éléments et d'autres négligences similaires peuvent aider les pirates à accéder au système.

Comment les cybercriminels gagnent plus que les PDG et font perdre des millions aux entreprises

Le retour sur investissement pour lancer des cyberattaques ou commettre des fraudes en ligne est plus important que jamais. Certains des fraudeurs les mieux rémunérés gagnent environ 7,5 millions de dollars (6 millions de livres) par an, selon les estimations les plus prudentes. Les fraudeurs débutants gagnent environ 18 700 dollars par mois, et les "PDG cybercriminels" gagnent jusqu'à trois fois plus que leurs homologues des entreprises légitimes, selon Arkose Labs.

Dans le cas de CloudNordic, l’entréprise a été victime d’une attaque de rançongiciel dévastatrice qui a compromis ses services et ceux de ses clients. L’entreprise a été prise au dépourvu lors du transfert de ses systèmes vers un nouveau centre de données, ce qui a permis aux cybercriminels d’activer une attaque latente et de chiffrer tous les disques des serveurs et les systèmes de sauvegarde. Comme dit précédemment, l’entreprise a refusé de payer la rançon, mais a également réalisé qu’elle ne pouvait pas restaurer les données perdues.

Elle a informé ses clients qu’ils avaient perdu toutes leurs données chez elle, ce qui a eu des conséquences graves sur leurs activités en ligne. L’entreprise a tenté de rétablir certains services, comme le DNS, le web et le courrier, mais sans les données associées. Elle a demandé à ses clients de la contacter par e-mail pour demander la restauration.

Cette situation montre que CloudNordic n’était pas suffisamment préparée à faire face à une attaque de rançongiciel, ni à protéger les données de ses clients. Elle révèle par ailleurs que l’entreprise n’avait pas mis en place des mesures de sécurité adéquates, comme des systèmes de détection et de prévention des intrusions, des sauvegardes hors ligne ou dans le cloud, ou des plans de continuité et de reprise d’activité.

Après avoir exprimé ses regrets aux clients et annoncé qu’il s’efforçait de rétablir ses services rapidement, CloudNordic devra assumer les répercussions importantes de cette attaque sur les plans juridique, financier et réputationnel.

Source : CloudNordic

Et vous ?

Quel est votre avis sur le sujet ?

À votre avis, CloudNordic pouvait-elle détecter l’attaque dormante avant qu’elle ne soit activée ?

Comprenez-vous l'absence de continuité de service pendant le transfert vers le nouveau centre de données ?

Comment choisir un fournisseur de services cloud fiable et transparent sur ses mesures de protection et de récupération des données ?

CloudNordic pouvait-elle protéger ses systèmes de sauvegarde avec des clés de chiffrement différentes de celles des serveurs ?

Quels sont les avantages et les inconvénients des différentes méthodes de sauvegarde des données, telles que le stockage local, le stockage externe, le stockage en ligne ou le stockage hybride ?

Voir aussi :

1,5 million de personnes ont récupéré leurs fichiers sans payer les cybercriminels. Le projet No More Ransom propose des outils gratuits permettant de déchiffrer 165 familles de rançongiciel

Cybercriminalité : comment un fumeur de cannabis de 35 ans à l'origine de 10 millions d'appels frauduleux a fait fortune, le site iSpoof.cc a permis aux cybercriminels de voler 100 M£

Les fraudeurs débutants gagnent environ 18 700 $ par mois, et les "PDG cybercriminels" gagnent jusqu'à trois fois plus que leurs homologues des entreprises légitimes, selon Arkose Labs

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Fagus
Membre expert https://www.developpez.com
Le 26/08/2023 à 21:36
Ce qui m'étonne c'est qu'il n'y ait pas un mécanisme d'analyse comportementale intégré dans les os, qu'on puisse activer, pour demander une confirmation humaine physique en cas de chiffrage massif des fichiers.
il y a la gestion des utilisateurs, mais à la base, c'était pas fait pour protéger les fichiers de l'utilisateur qui les possède, et quand bien même , il y a l'escalade de privilèges comme sans doute dans cette histoire.
1  0 
Avatar de totozor
Expert confirmé https://www.developpez.com
Le 28/08/2023 à 8:46
Citation Envoyé par JP CASSOU Voir le message
La sanction de référence contre les auteurs de ransomware est simple: la peine de mort obligatoire une fois la culpabilité formellement établie.
Rien que ça.
Je penses que vous avez oublié de prévoir le moyen, de préférence le plus douloureux et lent possible.

On ne parle pas d'une attaque qui n'a tué personne, il serait bien d'éviter d'invoquer la mort comme punition à la moindre occasion, surtout si on ne laisse même pas un juge un peu humain essayer de l'éviter avec la sentence "obligatoire".
Que font les victimes quand le coupable est mort? Beh elles sont toujours dans la merde, on a rien arrangé à la situation.

"Oui mais Totozor, tu ne comprends pas cette sentence n'est pas tant un message au condamné (en effet le message a peu d'importance) mais un message de prévention pour ceux qui voudrait reproduire la chose".
Je ne comprends pas pourquoi ce système si persuasif n'empeche pas la surpopulation carcérale.
Mon hypothèse (qui n'est que la mienne) est qu'il n'est pas efficace et qu'il faudrait donc en envisagé un autre.

PS : je ne dis pas qu'il ne faut pas de prison, je dis juste que la penser comme un moyen préventif n'est pas efficace. Et donc qu'il faudrait (re)définir son/ses objectif et s'arranger pour qu'elle y réponde.
1  0 
Avatar de JP CASSOU
Membre confirmé https://www.developpez.com
Le 25/08/2023 à 17:11
La sanction de référence contre les auteurs de ransomware est simple: la peine de mort obligatoire une fois la culpabilité formellement établie.
2  3