En moyenne, les responsables sécurité des organisations ont été confrontés 52 fois à des attaques en 2022. Le document de Rubrik Zero Labs détaille les 11 jours durant lesquels une université américaine a subi une sévère attaque par ransomware.
Les attaquants au SI de Stone University ont exploité la vulnérabilité Log4j sur le serveur du système de billetterie du service d'assistance de l'institution. Ils ont obtenu, sans être détectés, un accès aux cinq machines virtuelles d’un environnement VMware et collecté des informations clés. Au final, ce sont 8 Go de données qui ont été volées contenant plus de
9 Mo de données sensibles, datées de 2013 jusqu’au jour de l’attaque. Pour chiffrer les données, les pirates ont utilisé AvosLocker dans l'infrastructure VMware ESXi sur 150 machines virtuelles. Plus retors, AvosLocker a arrêté les outils de gestion des machines virtuelles, avant de chiffrer les fichiers afin d'empêcher les équipes de sécurité de Stone University de réagir de manière efficace.
Les pirates ont également accédé à un ancien serveur de sauvegarde des données afin d'observer la réponse de la victime. Hélas, Stone University avait remplacé un ancien serveur de sauvegarde, mais l’avait laissé en place alors qu'il n’était plus utilisé. Des analyses complémentaires ont révélé que sept autres serveurs ont été compromis.
Désagréable rebondissement, une deuxième demande de rançon a été envoyée avec la menace de publier les données sensibles sur un serveur externe. Pour information, 40 % des demandes de rançon font suite à un chiffrement des données et 37 % d’entre elles sont un ultimatum de divulgation des informations compromises en cas de non-versement.
L'équipe de Stone University a restauré les huit serveurs compromis et 5 VM (machines virtuelles) à partir d'un point de restauration du jour avant l’attaque, perdant au final six jours de données. Les 145 machines virtuelles restantes ont nécessité une intervention moins importante car elles n'ont subi que l'action de chiffrement. Elles ont été restaurées à partir de sauvegardes effectuées juste un jour avant le déploiement du ransomware, ce qui a permis d'éviter cinq jours supplémentaires de perte de données sur les VM.
Les réponses rapides de la victime ont évité le pire
Tout d'abord, les équipes de la DSI ont remplacé et mis à jour plusieurs serveurs et leurs pare-feu.Ensuite, elles ont restauré les données en testant des portions d'environnements récupérées, puis en déplaçant dans l'environnement de production. La qualité des sauvegardes conditionne une restauration efficace des données car elles sont, au final, le parachute qui peut éviter des dommages irréparables au SI d’une organisation. Le rapport rappelle que 9 organisations sur 10 signalent des accès aux sauvegardes lors d'une cyberattaque et 73 % ont partiellement réussi.
L'opération de restauration globale a également nécessité de nouveaux hôtes ESXi de VMware, un nouveau vCenter et une reconstruction de l'Active Directory.
Troisième point, Stone University a évalué l'impact technique au cas où les attaquants renforceraient leurs offensives en mettant en ligne les données volées.