Parmi les statistiques les plus alarmantes des cyberattaques de 2021, la destruction systématique des sauvegardes pousse les entreprises au désespoir pour les inciter à payer les rançons demandées et la promesse d’une récupération hypothétique de leurs données.
Veeam vient de mener une étude pour le moins originale, parce qu’elle s’intéresse aux entreprises qui ont déjà été attaquées avec succès. Le but de cette recherche est de mettre en corrélation le nombre d’attaques réussies par rapport au pourcentage de récupération de données après ces attaques. L’étude a été menée à partir de janvier 2022 auprès de 1 000 décideurs IT représentant quatre professions (RSSI, professionnel de la sécurité, administrateur de sauvegarde, responsable des opérations IT), et provenant d’entreprises de toutes tailles dans 16 pays des régions APJ, EMEA et Amériques, dont 300 de la région EMEA.
Le premier constat dressé par les répondants et un constat d’impuissance face à la fréquence des attaques et leur ampleur. Malgré les efforts de sensibilisation, 44 % des attaques par rançongiciels (46 % en région EMEA) réussissent du fait de l’imprudence des collaborateurs, lorsque les utilisateurs cliquent accidentellement sur des liens malveillants, se rendent sur des sites web non sécurisés ou répondent à des courriels d’hameçonnage. La part des compromissions consécutives aux vulnérabilités reste toutefois élevée aussi. Dans la région EMEA, ce sont 47 % des serveurs de centres de données, 50 % des sites distants et 44 % des instances cloud qui ont été impactés.
Ils traquent les actifs numériques de la victime…
Une fois dans la place, 80 % des attaquants se lancent à la recherche des systèmes internes dont les vulnérabilités sont connues, notamment des systèmes d’exploitation, des hyperviseurs, des plateformes NAS et des serveurs de base de données. Cette phase leur permet de découvrir les actifs numériques de l’entreprise et de passer à la phase suivante : le chiffrement des données. D’après l’étude, 48 % des victimes ont subi le chiffrement de serveurs de centres de données, 49 % celui des plateformes de leurs sites distants et 46 % ont subi le chiffrement de leurs instances de serveurs hébergées dans le cloud.
Mais le plus alarmant pour les experts de Veeam a été de constater que dans leur majorité, les attaquants cherchent systématiquement à détruire les sauvegardes de leurs victimes. Ainsi, 30 % des répondants révèlent que les attaquants ont compromis la plupart des cibles de sauvegarde, 38 % n’ont pu atteindre que quelques cibles, 26 % n’ont pas réussi à atteindre les sauvegardes. Curieusement, 6 % ont constaté que les attaquants n’ont même pas essayé de trouver les sauvegardes.
… pour détruire les sauvegardes
Dans l’ensemble, 88 % des attaquants par rançongiciel ont tenté d’infecter des cibles de sauvegarde, et 75 % de ces tentatives ont abouti. Ces destructions presque systématiques sont certes destinées à empêcher toute récupération interne de données, mais elles ont un autre effet, celui de pousser les victimes au désespoir pour les obliger à payer la rançon, car c’est le seul moyen, croient-elles, qui leur reste de récupérer leurs données.
Quant à savoir si les entreprises parviennent à restaurer leurs données après avoir payé la rançon, le rapport apporte une réponse qui ne surprend personne : si récupération il y a, elle n'est pas satisfaisante. Les entreprises ont reconnu n’avoir été capables de restaurer que 69 % de leurs données. Conclusion, rien ne garantit la récupération des données.
En effet, les victimes sont quasiment aussi nombreuses à avoir restauré leurs données sans payer de rançon qu’à avoir payé sans pouvoir restaurer leurs données. Dans la moitié des attaques, les victimes ont payé la rançon et récupéré leurs données. Cependant, 24 % des victimes ayant payé la rançon n’ont jamais pu récupérer leurs données. Fait notable et encourageant, un cinquième des entreprises (19 %) n’a pas payé de rançon et a tout de même pu restaurer ses données. Dans la région EMEA, les victimes, chanceuses ou plutôt prévoyantes, sont 22 % à avoir pu restaurer leurs données sans payer de rançon. La conclusion qu'on peut tirer de cette étude est conforme aux recommandations des organismes publics et des états qui conseillent de ne pas payer de rançon, car rien ne garantit la récupération des données.