Selon l'Université du Texas, 94 % des entreprises qui subissent une perte de données catastrophique ne survivent pas. En outre, 93 % des entreprises qui perdent l'accès à leurs données pendant 10 jours ou plus feront faillite dans les 12 mois, selon la National Archives & Records Administration de Washington.
Voici l'histoire vraie d'une entreprise qui a évité ce sort.
Anatomie de l'attaque
C'est le début de la matinée et l'équipe informatique attend avec impatience le prochain week-end férié. La semaine a été bonne. Une semaine tranquille. Exactement comme l'équipe l'aime. Pas de problèmes ou de distractions.
Un appel au service d'assistance de la côte Est est le premier signe d'un problème potentiel. Quelque chose ne va pas. L'appelant ne peut pas ouvrir ses fichiers. Cet appel est rapidement suivi d'un autre lorsque les utilisateurs d'une autre région commencent à signaler des problèmes avec les systèmes d'accès à distance. Ils ne peuvent pas se connecter aux serveurs centraux. D'autres systèmes semblent être complètement indisponibles.
Immédiatement, les administrateurs de systèmes de l'équipe informatique entrent en action. Presque immédiatement, ils remarquent que leur environnement virtuel est au maximum de sa capacité sans raison apparente. Un sentiment d'effroi commence à s'installer. La plupart de ces systèmes sont également inaccessibles.
L'équipe continue à agir rapidement, en dépannant avec ses fournisseurs de technologie pour identifier ce qui pourrait causer cette activité. Et puis, en un instant, tout est devenu clair.
Un utilisateur a créé un ticket d'assistance signalant que plusieurs fichiers PDF qui fonctionnaient bien hier ne s'ouvrent plus. Curieusement, ils ne semblaient plus être des PDF. L'extension de chaque fichier a été modifiée en .CURATOR.
Il n'y aurait pas de week-end de 4 jours de vacances. Pas de célébrations. Pas de congés supplémentaires. En un instant, ils ont su que c'était un combat pour leur vie. Il ne s'agissait pas d'une attaque par ransomware sans visage et sans nom dont ils n'avaient lu que des articles, mais d'une attaque contre leur entreprise.
À ce moment-là, ils sont dans la ligne de mire d'une équipe sophistiquée de cybercriminels prêts à tout pour leur extorquer le plus d'argent possible, même si cela implique la destruction de toutes les données.
Curator a un niveau de distribution relativement faible par rapport à d'autres variantes de ransomware, mais il provoque des dégâts importants. Sa signature est l'extension de fichier .CURATOR et l'inclusion d'un fichier texte dans chaque répertoire infecté, contenant des instructions pour contacter les attaquants.
À ce jour, il n'existe aucun outil connu permettant de réparer les fichiers infectés, si ce n'est le décrypteur fourni par les attaquants.
Cela donne à réfléchir
Pendant une minute, l'équipe s'est regardée. Ils ont compris qu'ils se battaient pour leurs données. Leur entreprise. Et leur emploi. Toujours blottie dans une salle de conférence bondée, l'équipe informatique a appelé l'équipe des services mondiaux de Panzura. Ils avaient besoin d'une aide urgente. Et ils en avaient besoin immédiatement. C'était une course contre la montre.
Heureusement, un ingénieur support expérimenté a répondu à l'appel. Comme les autres membres de l'équipe de sécurité du cloud Panzura , il avait vu plus d'une attaque de ransomware et savait exactement ce qu'il fallait faire.
En quelques minutes, Panzura a aidé l'équipe informatique du client à désactiver l'accès en écriture au nœud à l'origine de l'attaque en coupant sa licence Windows CIFS/SMB. Cela a automatiquement désactivé la communication avec le filer affecté et forcé tous les emplacements à passer en mode lecture seule, empêchant ainsi toute nouvelle contamination du réseau de fichiers.
Pour gagner du temps lors du processus de nettoyage, l'équipe de Panzura a désactivé les instantanés de l'utilisateur, afin d'empêcher le système de créer des points de restauration automatiques de données cryptées qui seraient de toute façon supprimées.
Moins de 20 minutes plus tard, l'attaque par ransomware était contenue dans les systèmes locaux, empêchant tout autre fichier d'être crypté et donnant à l'équipe informatique de l'entreprise un répit pour identifier la source et l'ampleur de l'attaque.
Lors d'une attaque de ransomware, chaque instant compte. De tels processus mécaniques peuvent crypter les fichiers plusieurs fois plus vite qu'un humain ne peut réagir...Panzura vous donne la possibilité d'arrêter l'effet de l'attaque sur vos fichiers stockés sans avoir à identifier d'abord la cause de l'attaque.
Dans le même temps, tous les fichiers cryptés qui ont atteint votre espace de stockage en nuage ont été écrits en tant que nouvelles données, laissant les fichiers existants totalement intacts. Cela signifie que toutes vos données peuvent être restaurées et que vous pouvez concentrer vos efforts sur l'arrêt de l'attaque...
Évaluation et appréciation des dommages
Après avoir maîtrisé le ransomware, l'équipe informatique de l'entreprise a commencé une évaluation approfondie de tous les systèmes - faisant le point sur leur situation. Les pics de processeurs continuaient à rendre difficile l'accès à l'environnement virtuel, mais avec l'aide continue de Panzura, ils ont identifié le serveur à l'origine de la plupart des activités. Ils l'ont déconnecté et ont redémarré l'ensemble de l'environnement virtuel.
Ça a marché. Ce redémarrage a créé assez de bande passante pour pouvoir se connecter.
En passant systématiquement par chaque serveur virtuel, l'équipe informatique a déconnecté et évalué les dégâts de chaque nœud sur leur environnement. Cela a pris le reste de la journée.
Une fois l'opération terminée, ils connaissaient toute l'étendue de l'attaque globale à laquelle ils avaient été confrontés. Des milliers de leurs fichiers avaient été cryptés et des centaines d'employés à travers le pays étaient touchés. Les projets étaient à l'arrêt.
Il est devenu douloureusement évident que la reprise allait nécessiter une approche par étapes. Il fallait donner la priorité à l'accès aux fichiers de production, car cela permettrait aux employés de reprendre le travail et aux projets de reprendre.
Nettoyage et planification de la reprise
Au cours de la semaine suivante, l'équipe du cabinet s'est concentrée sur l'identification de tous les serveurs affectés par le cryptage, sur l'évaluation de leur état antérieur et actuel afin de déterminer la cause potentielle, et sur la mise en place de mesures visant à mettre les systèmes en ligne en toute sécurité.
Au cours de cette phase de découverte, ils ont travaillé avec une entreprise de remédiation en matière de cybersécurité pour mettre en place un nouveau logiciel de protection des terminaux et fournir des services de surveillance et d'atténuation des effets de l'attaque.
Pendant toute la durée de la remédiation, les utilisateurs ont pu accéder aux données sur les déploiements individuels de Panzura et rester productifs face à une attaque de ransomware.
Pendant qu'un sous-ensemble de l'équipe du cabinet travaillait à l'examen des systèmes, un autre groupe collaborait avec les experts des services mondiaux de Panzurapour obtenir un accès critique à des données de projet propres et à jour. PanzuraLes experts en sécurité du nuage de ont rapidement testé et déployé un script personnalisé qui détectait immédiatement la création de tout nouveau fichier .CURATOR et interdisait son écriture sur tout filer.
Pour s'assurer qu'aucun fichier crypté ne passe à travers les mailles du filet, l'équipe des services globaux a mis en place un compteur pour suivre les tentatives d'écriture de ce type de fichier. Cela a permis aux administrateurs système de surveiller toute nouvelle activité suspecte lors de la mise en ligne des systèmes.
En quelques heures, le nombre de fichiers .CURATOR générés a ralenti. L'équipe informatique a pu constater qu'elle maîtrisait l'attaque. Mais ils n'avaient pas encore fini. Ils devaient maintenant nettoyer le désordre que cette attaque généralisée avait créé pour eux.
Identification des fichiers affectés
Grâce à la couche Data Services intégrée au système de fichiers global Panzura , l'équipe de Panzura a fourni à l'entreprise une liste complète de tous les fichiers cryptés affectés, ainsi que leur emplacement et leur date de création. Cette analyse a montré que chaque partition de fichier, pour chaque bureau, avait été affectée par l'attaque, et que la récupération des données nécessiterait une planification méthodique et minutieuse.
L'équipe d'assistance de Panzura s'est mise au travail pour aider l'entreprise à restaurer les fichiers dans leur état non crypté, en utilisant un système de triage pour s'assurer que les dossiers les plus critiques étaient restaurés en premier.
Pour minimiser toute perte de données, l'équipe informatique a utilisé le site Panzura pour analyser chaque fichier et déterminer avec précision le moment où les fichiers et les dossiers ont été cryptés. Grâce à ces informations, elle a pu restaurer la dernière bonne version de chaque fichier avant qu'il ne soit crypté par l'attaque.
Grâce à des instantanés complets du système de fichiers exécutés toutes les 60 minutes et des instantanés des utilisateurs toutes les 60 secondes, l'équipe informatique a pu garantir aux dirigeants de l'entreprise qu'ils étaient protégés.
La restauration des données serait un processus différent, contrairement à la restauration à partir d'une solution de sauvegarde traditionnelle. Comme la solution Panzura catalogue les modifications infinies apportées à chaque fichier et stocke ces données dans les métadonnées, l'équipe informatique n'a eu qu'à revenir à la meilleure version de chaque fichier. Il n'est pas nécessaire de transporter les données à travers le monde. Pas besoin de frais de sortie coûteux. Il suffit de modifier les métadonnées. Ainsi, la restauration de l'instantané Panzura ne prendrait qu'une fraction du temps nécessaire à une sauvegarde hors site, et ce avec une fiabilité bien plus grande.
Malgré le succès rencontré avec les données de leurs utilisateurs, il était évident pour l'équipe informatique qu'elle avait encore des semaines de travail devant elle. Elle devait maintenant évaluer et récupérer les données et les systèmes stockés en dehors de Panzura.
Et les perspectives étaient sombres.
Pour être franc, le directeur informatique a résumé la situation de manière succincte :
Alors que nous avons pu nous débarrasser rapidement de tout fichier crypté sur le système Panzura , nous étions encore en train de procéder à ce processus avec le reste de nos autres systèmes sept semaines plus tard.
Ralentissement de l'attaque, détection précoce et rétablissement plus rapide et de meilleure qualité
L'architecture inhérente à Panzura offre un avantage considérable par rapport aux méthodes traditionnelles de stockage et de protection des données.
La détection précoce, l'identification des principales sources de l'attaque et une réponse rapide en matière d'atténuation ont été essentielles au succès de la récupération des données des utilisateurs. Aucune rançon n'a été payée. Aucun temps d'arrêt prolongé n'a été ressenti.
Étant donné que Panzura met en cache localement les fichiers les plus utilisés, une attaque de ransomware est limitée aux fichiers qui sont en local. En effet, le logiciel malveillant n'a aucun moyen de savoir si le fichier qu'il est en train de chiffrer se trouve dans le cache ou non - il se contente d'explorer les répertoires.
Lorsque le logiciel malveillant rencontre des fichiers qui ne sont pas dans le cache, il les récupère dans le magasin en ligne. Cela prend du temps. Et cela crée instantanément des signaux d'alarme lorsque la bande passante est monopolisée.
De plus, l'augmentation des mouvements de données depuis et vers le cloud est également facile à identifier et à signaler, ce qui permet de donner l'alerte rapidement et de gagner un temps précieux à essayer de diagnostiquer le problème. Grâce à Panzura Data Services , nombre de ces tentatives de cryptage sont stoppées en quelques minutes, ce qui limite l'ampleur des dégâts et le temps de récupération nécessaire.
Lorsqu'on lui a demandé si la situation aurait été différente sans Panzura, le responsable informatique a répondu :
Nous aurions eu une sauvegarde sur bande et nous serions obligés de remplacer les bandes et de récupérer les données maintenant. Le temps de récupération est probablement le plus grand avantage de l'utilisation de Panzura.
Aucune donnée de production critique n'a été perdue lors de cette attaque, et les fichiers de production n'ont pas été indisponibles pendant une période significative. En pratique, cela signifie que le cabinet a pu continuer à respecter toutes les échéances et s'assurer que ses clients n'étaient pas affectés par l'interruption.
Une plongée plus profonde
Les attaques par ransomware n'ont qu'un seul but : crypter les fichiers de telle sorte que les décideurs de l'entreprise pensent qu'ils ne peuvent être débloqués qu'avec l'aide de l'attaquant. En général, les attaques par ransomware se concentrent sur le cryptage ou la destruction des données de sauvegarde et des instantanés, ainsi que des données primaires, dans le but évident de priver l'entreprise de toute possibilité de restaurer elle-même les données utiles et d'échapper à la demande de rançon.
Panzura ne permet pas que cela se produise.
PanzuraLe système de fichiers global CloudFS permet aux entreprises de stocker des données dans n'importe quel nuage public ou privé, en utilisant le stockage d'objets pour l'évolutivité et la durabilité. Les utilisateurs travaillent sur des fichiers familiers dans un répertoire ou un dossier familier, mais en dessous de cet effort, Panzura transforme toute création ou modification d'un fichier en blocs d'objets qui peuvent être stockés dans n'importe quel magasin d'objets.
Grâce à Panzura, toutes les données du magasin d'objets du cloud sont immuables et ne peuvent pas être écrasées. Lorsque les utilisateurs modifient des fichiers dans le système de fichiers, les modifications qu'ils apportent sont synchronisées avec le nuage en tant que nouveaux objets de données.
Les métadonnées de chaque fichier sont mises à jour à chaque édition, enregistrant les blocs d'objets nécessaires pour former "un fichier" à un moment donné. Les données stockées sont en outre protégées par des instantanés en lecture seule, pris à des intervalles configurables.
Par conséquent, l'attaque par ransomware que l'entreprise a subie ne chiffrait pas les données que Panzura avait sécurisées dans son stockage en nuage. Au contraire, elle créait des données qui étaient écrites dans le stockage en nuage en tant que nouveaux objets, laissant intactes les données préexistantes.
Pour les entreprises qui utilisent des systèmes de fichiers anciens, les rançongiciels posent un sérieux problème. En stockant des données qui doivent être modifiables, les systèmes de fichiers hérités sont intrinsèquement vulnérables.
Lorsqu'ils sont attaqués, ils font exactement ce pour quoi ils sont conçus, et permettent de modifier les fichiers. Cela signifie que la récupération de fichiers "propres" est exceptionnellement difficile et prend beaucoup de temps. De plus, les processus de sauvegarde ont tendance à s'exécuter de manière planifiée, et souvent une seule fois par jour en raison des ressources qu'ils consomment. La restauration d'une sauvegarde après un sinistre implique presque toujours une perte de données, souvent considérable.
Les approches populaires de la résilience des données ne font pas grand-chose pour empêcher cette perte de données.
Traditionnellement, l'informatique fait une copie des données de l'utilisateur et stocke ces données séparément des données primaires, souvent sur un autre site de l'entreprise. Pour plus de résilience, des copies supplémentaires sont stockées hors site. Là encore, cette approche de la reprise après sinistre entraîne une perte de données, surtout si les fichiers doivent être restaurés à partir de bandes. Le délai important qui s'écoule entre l'exécution de la sauvegarde et le moment réel de l'attaque crée une brèche dans l'intégrité opérationnelle.
Alors, qu'est-ce qui fonctionne ?
L'investissement de cette entreprise dans Panzura va bien au-delà de la nécessité de permettre à ses utilisateurs de collaborer en temps réel sur le même ensemble de données dans plusieurs endroits - une solution unique à Panzura dans le monde des applications de données non structurées.
Une technologie intelligente qui transfère immédiatement les données là où elles doivent être ne signifie pas grand-chose face au type d'attaque dont nous sommes témoins ici de la part de cybercriminels sophistiqués.
L'immuabilité des données de Panzura, qui résiste aux tentatives de cryptage des données par des logiciels malveillants à grande vitesse, est au cœur de la résilience affichée dans cette récupération rapide.
Si l'on ajoute à cela la résilience du stockage en nuage lui-même, cette entreprise particulière dispose d'une durabilité des données d'au moins 13 9, ainsi que d'une protection contre les ransomwares que de nombreuses organisations souhaiteraient avoir.
Cette durabilité des données a rendu leurs données critiques essentiellement imperméables à une attaque agressive, minimisant ainsi les perturbations et maximisant leur vitesse de récupération.
La plupart de ces histoires ne se terminent pas si bien.
Mais c'est possible avec un système de gestion des données intelligent comme Panzura, avec un système de fichiers global qui donne la priorité à la protection des données et maintient un ensemble de données vierges qui peuvent être rapidement restaurées, ce qui minimise les temps d'arrêt et les pertes de données, et préserve l'intégrité des données.