Alors que l’on pensait que les sauvegardes cloud constituaient un moyen efficace de contrer les attaques par ransomware qui paralysent le SI des entreprises, des pirates parviennent à les corrompre.
xxx. (crédit : D.R.)
Les utilisateurs qui pensent que leurs données sont à l’abri dans une sauvegarde cloud devraient se méfier. Une mauvaise configuration expose en effet leur héritage informationnel à des risques cyber de premier plan. Les pirates derrière le ransomware DoppelPaymer ont ainsi récemment publié sur un site leaké des identifiants (nom d’administrateur et mots de passe) d’un client ayant refusé de payer une rançon. Problème : ces derniers étaient relatifs à un compte de sauvegarde cloud Veeam, signifiant que les pirates ont eu dans leurs mains des données qui n’étaient pas dans le SI même de l’entreprise mais protégées dans le système d’un fournisseur tiers.
Bleeping Computer, qui a révélé cette affaire, précise que cette faille ne vise pas uniquement Veeam, loin de là, et que tous les services cloud de sauvegardes peuvent être concernés. « Pendant les attaques de rançongiciels, les attaquants compromettent un hôte individuel par le phishing, les logiciels malveillants ou les services de bureau à distance exposés », indique Bleeping Computer. « Une fois qu’ils ont accès à une machine, ils se propagent latéralement sur le réseau jusqu’à ce qu’ils aient accès aux informations d’identification de l’administrateur et au contrôleur de domaine. À l’aide d’outils tels que Mimikatz, ils procèdent au vidage des informations d’identification à partir d’active directory ». Le fait que des administrateurs configurent Veeam pour l’authentification Windows facilite grandement la tâche des pirates pour voler des données cloud.