

Piratage des serveurs d’entreprises via ransomware
Le Groupement de gendarmerie de la Haute-Savoie nous rapporte des nouvelles attaques informatique avec système de rançon pouvant engendrer la perte de l’ensemble des données de travail des entreprises. Soyez vigilants !
Le ou les hackers utilisent un générateur de mots de passe afin de pirater le serveur d'une entreprise, vraisemblablement sur une période d'environ 15 jours.
Une fois qu'ils sont parvenus à récupérer les mots de passe, ils s’introduisent sur le serveur et effacent les données, sans qu'aucune alerte ne soit donnée à l'entreprise ou au service en charge du réseau.
Une entreprise du territoire a été victime de cette attaque.
Le lendemain matin, le dirigeant de l'entreprise a constaté qu'une partition contenant environ 200 Go de données (fichiers présentations, logiciel de désign + compta, clients, etc) a été effacée du serveur de l'entreprise. Sur cette partition se trouvait également la partie dédiée à la sauvegarde des données de l'entreprise. Cette dernière ayant été effacée, tout a été perdu. Le dirigeant remarque également qu'en lieu et place des données, seul un fichier texte (.txt) est présent. Dans ce document est mentionné : " Les fichiers ont été déplacés vers un serveur FTP distant et cryptés. Pour recevoir les fichiers, écrivez à "adresse mail en gmail.com" et payez la somme de 0,07 Bitcoin (soit environ 274 €).
Cette somme a été réglée mais à ce jour, aucune indication pour récupérer ses données ne lui a été communiquée. D'ailleurs, il semble peu probable qu'il ne puisse les récupérer un jour. En effet, vu l'impossibilité de déplacer ces 200 Go de données en une nuit via la connexion de l'entreprise, celles-ci ont vraisemblablement été effacées.
Pour l'heure, seuls quelques fichiers ont pu être récupérés dans les différentes corbeilles des ordinateurs de bureau.
Outre le préjudice occasionné par le paiement de la rançon, l'entreprise connaît un ralentissement d'activité dû à une surcharge de travail occasionnée par le back-up bureau et un énorme retard de production. Cette production devra d'ailleurs être suspendue afin que le bureau d'étude puisse reprendre un peu d'avance. Le gérant envisage plusieurs jours "chômés". Une perte de CA d'environ 30% est pour l'heure envisagée.
Ce fait vous est rapporté pour rappeler que les meilleurs moyens de se prémunir contre ce type d'agissement sont :
- Mot de passe ultra-fort (surtout s'il s'agit de celui censé protéger le serveur) avec changement périodique.
- Sauvegardes QUOTIDIENNES et si possible dupliquées (cloud (mais en chiffrant les données), serveur, clé USB, disque dur externe (branchés uniquement au moment de faire la sauvegarde), ...).
- Attention permanente quant aux messages et aux pièces jointes reçues.
- Attention permanente quant au comportements anormaux des systèmes (ralentissement, ...)
- Payer la rançon demandée ne garantit pas de récupérer ces données .