Commentaires : Des maires américains décident de ne plus céder aux ransomwares qui gangrènent les USA

Les municipalités américaines ont pris la décision de ne plus accepter de payer les rançons afin de décourager les hackers qui prennent pour cibles les plus grandes métropoles.

Ils ont raisons, mais il faudrait commencer par sécurisé leur système c’est là que se trouve le problème. Les ransomware ne sont peut être que la partie visible de l’iceberg. Combien de ville se sont fait dépouillées de données sensibles.

Il faudrait savoir pourquoi certains maires ont décidé de payer les hackers. Ils ont cru que les pirates allaient prendre leur retraite? Ou bien ils se sont dit que l’argent n’était pas la leur et qu’ils pouvaient bien en faire ce qu’ils voulaient.

Un voleur qui vole un voleur est-il encore un voleur?

Une solution pour eux : graver toutes les informations sur CD-R et plus de soucis.

On ne pourra plus modifier les informations mais elles seront toujours là.

Au fait, ont-ils pensé au backup ?

A noter que maintenant que le ransomware est dans la culture général, il risque fort d’y avoir (s’il n’y a pas déjà eu) des insiders qui plantent les ransomwares eux-même à leur boulot. Simple comme bonjour, et peut rapporter gros sur une équipe de deux personnes, et Dieu merci les cryptocoins qui rendent la vie tellement facile aux criminels.

Le problème du backup c’est qu’il doit être déconnecté et c’est pas du tout simple à mettre en place du coup.

Le problème des ransowares, c’est qu’il contamine tout, le réseau, les supports externes, et du coup la sauvegarde. C’est pour ça que ça coûte plus cher à restaurer qu’à payer la rançon.

Souvent les petites administrations, comme les PME, n’ont pas les moyens (et/ou pas le réflexe) de sécuriser leurs outils informatiques. On pense souvent à un backup des quelques données sensibles mais que la structure n’a pas d’intérêt pour des pirates. C’est seulement une fois que tout est bloqué que l’on réalise sa dépendance à l’informatique et le cout de la restauration et de la perte de données…

C’est juste une question de coût à l’instant T et de vision locale. Si ça coute 3x fois le prix de la rançon pour remettre en mache son système, le maire préfère payer.
Le problème doit être traité globalement, le cout pour la société est plus grand si on paye car, comme tu le soulignes, cela incite les pirates à continuer. Je trouve qu’ils ont pris la bonne décision, je suppose qu’une coopération globale a aussi été adoptée (échanges d’expérience et mutualisation des coûts de protection / restauration).

SI le cryto bouffe ta sauvegarde c’est que ta sauvegarde est mal faite.

1 « J'aime »

ben non tout simplement ils se sont dit qu’ils recuperaient leur données cryptées…
A leur place tu aurais peut-être fait pareil …
un voleur qui vole un voleur et toujours un voleur … quoi qu’on dise …

Fallait acheter des Mac.

Bah non… tu peux faire une excellente sauvegarde sauf qu’elle est sur le même réseau et t’es mort. Encore une fois, sécuriser la sauveagarde c’est pas simple, idéalement il faut :

  • connecter le serveur de sauvegarde au réseau
  • sauvegarder tes données
  • déconnecter le serveur de sauvegarde au réseau
  • copier la sauvegarde sur un support physique (une bande par exemple)
  • sortir la bande du robot et la mettre au coffre

Et prier pour ne pas avoir le ransonware qui s’est déployé sur ton serveur le temps du backup :scream:

Déjà mettre ton backup sur le meme réseau que ton serveur c’est prendre des risques …

Dans les règles la méthode 3-2-1 est facile a mettre en place et diablement efficace :

  • 3 sauvegardes, sur 2 lieux séparés, dont 1 externalisé

Sur mes infras, c’est 1 backup local, pour de la remontée /restauration rapide de data, 1 VLAN séparé pour de la remontée en cas de crash et 1 backup dans un autre DataCenter

Et toutes ces données sont gardées 5 jours glissants pour les data non sensible, et 15 pour les sensibles

Bah tu fais comment pour qu’ils communiquent s’ils ne sont pas tous les deux dans le réseau ? Après tu peux bien faire du port forward et des bridges mais à un moment il y a une communication entre les 2.

Bon, d’abord tu comprends bien qu’une telle infra a un coût pas seulement en matos mais surtout en compétence pour le maintenir.

Et ça risque de ne rien changé. Je t’explique : le ransonware attaque une ou plusieurs machines connectées à internet puis infecte toutes les machines qui sont connecté dans le réseau de cette machine infectée => toutes les machines sont infectées. Partant de là, le ransonware peut avoir toutes les chaines de connexion qui ont permis de se connecter sur chacune des machines infectées. Donc, il suffit que le poste de l’admin backup se connecte en remote à une des machines de sauvegarde pour que le compte soit corrompue. Suffit alors qu’une connexion réseau soit établie entre ce poste et un des serveurs pour l’infecter que ce soit distant ou pas distant.

Un scénario simple c’est :

  • un mail invitant le client à vérifier la facture dont il doit s’acquitter -> la facture est évidemment le point d’entrée du malware -> t’as forcément un couillon qui va l’ouvrir dans la boite.
  • le malware cherche un répertoire partagé pour se propager et envoie un mail à tout le monde invitant à lire tel ou tel fichier
  • le malware sait décrypter les connexions en mémoire (c’est d’une simplicité à crever :frowning: ) -> sur tous les postes infectés, va bien y en avoir un avec des droits un peu plus intéressant

etc. l’attaque est lancée.

C’est souvent a cause de cette économie cout infra / compétence qu’on se retrouve dans la m***e, j’ai déjà eu un crypto chez un client, mes regles / conf firewall m’ont sauvé la vie, le client a remonté son backup en quelques heures.

J’utilise un serveur de backup qui vient récuperer sur le client les données. le serveur infecté ne peux pas taper a la porte du serveur de backup.

Sauf s’il connait la chaine de connexion de l’admin. :wink: