ransomware
Produits et Services PRODUITS & SERVICES

Impact des sauvegardes compromises sur les attaques de ransomware

Informations sur les implications financières et opérationnelles de la compromission des sauvegardes lors d'une attaque de ransomware.

ransomware

Cliquez sur l’image pour accéder au rapport.

Il existe deux principales manières de récupérer des données chiffrées lors d’une attaque de ransomware : restaurer à partir de sauvegardes ou payer la rançon. La compromission des sauvegardes d’une entreprise permet aux adversaires de restreindre la capacité de leur victime à récupérer les données chiffrées et d’augmenter la pression pour que la rançon soit payée.

Cette analyse explore l’impact de la compromission des sauvegardes sur les conséquences négatives au niveau commercial et opérationnel suite à une attaque de ransomware. Elle met également en lumière la fréquence des compromissions de sauvegarde réussies dans de nombreux secteurs.

Les résultats sont basés sur une enquête indépendante et agnostique , commandée par Sophos, auprès de 2 974 professionnels IT/Cybersécurité dont les organisations ont été touchées par un ransomware au cours de l’an dernier. Menée par le cabinet d’études indépendant Vanson Bourne début 2024, l’étude reflète les expériences des personnes interrogées au cours des 12 mois précédents.

Résumé

L’analyse montre clairement que les implications financières et opérationnelles de la compromission des sauvegardes lors d’une attaque de ransomware sont immenses. Lorsque des attaquants parviennent à compromettre les sauvegardes, une entreprise est presque deux fois plus susceptible de payer la rançon et s’expose à une facture globale en matière de restauration huit fois plus élevée que celle d’entreprises dont les sauvegardes n’ont pas affectées.

Détecter et stopper les acteurs malveillants avant que vos sauvegardes ne soient compromises vous permet de réduire considérablement l’impact d’une attaque de ransomware sur votre entreprise. Investir dans la prévention contre la compromission des sauvegardes augmente votre résilience face aux ransomwares tout en réduisant le TCO (Total Cost of Ownership) global en matière de cybersécurité.

Télécharger le rapport PDF.

Leçon N°1 : Les auteurs de ransomware tentent presque toujours de compromettre vos sauvegardes

94 % des entreprises touchées par un ransomware au cours de l’année écoulée ont déclaré que les cybercriminels avaient tenté de compromettre leurs sauvegardes lors de l’attaque. Ce chiffre s’élève à 99 % dans les administrations nationales et locales ainsi que dans le secteur des médias, des loisirs et du divertissement. Le taux de tentatives de compromission le plus faible a été signalé par les secteurs de la distribution et du transport, mais même dans ce cas, plus de huit organisations sur dix (82 %) touchées par un ransomware ont déclaré que les attaquants avaient tenté d’accéder à leurs sauvegardes.

ransomware

Leçon N°2 : Le taux de réussite des compromissions de sauvegarde varie considérablement selon le secteur

Dans tous les secteurs, 57 % des tentatives de compromission des sauvegardes ont réussi, signifiant ainsi que les adversaires ont pu avoir un impact sur les opérations de récupération de plus de la moitié de leurs victimes suite à une attaque de ransomware. Il est intéressant de noter que l’enquête a révélé une variation considérable du taux de réussite des adversaires selon le secteur :

  • Les attaquants étaient les plus susceptibles de réussir à compromettre les sauvegardes de leurs victimes dans les secteurs de l’énergie, du pétrole/gaz et des services publics (taux de réussite de 79 %) et de l’éducation (taux de réussite de 71 %).
  • À l’inverse, les secteurs de l’informatique, de la technologie et des télécommunications (taux de réussite de 30 %) ainsi que du retail (taux de réussite de 47 %) ont signalé les taux les plus faibles en matière de compromission de sauvegarde réussie.

ransomware

Plusieurs raisons peuvent expliquer les différents taux de réussite. Il se peut que les secteurs de l’informatique, des télécommunications et de la technologie disposaient au départ d’une protection des sauvegardes plus solide et qu’ils aient donc été mieux préparé pour résister à l’attaque. Ces derniers peuvent également être plus efficaces pour détecter et stopper les tentatives de compromission avant que les attaquants ne parviennent à leur fins. À l’inverse, les secteurs de l’énergie, du pétrole/gaz et des services publics ont certainement été confrontés à un pourcentage plus élevé d’attaques très avancées. Quelle qu’en soit la cause, l’impact peut être considérable.

Leçon N°3 : Les demandes de rançon et les paiements doublent lorsque les sauvegardes sont compromises

Chiffrement des données

Les entreprises dont les sauvegardes ont été compromises étaient 63 % plus susceptibles d’avoir des données chiffrées que celles dont les sauvegardes n’avaient pas été touchées : 85 % des organisations dont les sauvegardes ont été compromises ont déclaré que les attaquants avaient réussi à chiffrer leurs données, contre 52 % de celles dont les sauvegardes n’avaient pas été affectées. Le taux de chiffrement plus élevé peut être le signe d’une cyber-résilience globale plus faible, rendant ainsi les organisations moins en mesure de se défendre contre les différentes étapes d’une attaque de ransomware.

Demande de rançon

Les victimes dont les sauvegardes ont été compromises ont reçu des demandes de rançon qui représentaient, en moyenne, plus du double de celles envoyées aux entreprises dont les sauvegardes n’avaient pas été affectées : les demandes de rançon médianes s’élevant respectivement à 2,3 millions de dollars (sauvegardes compromises) et 1 million de dollars (sauvegardes non compromises). Il est probable que les adversaires se sentent dans une position de force s’ils parviennent à compromettre les sauvegardes et donc légitimes pour exiger un paiement plus élevé.

Taux de paiement de la rançon

Les entreprises dont les sauvegardes ont été compromises étaient presque deux fois plus susceptibles de payer une rançon pour récupérer les données chiffrées que celles dont les sauvegardes n’avaient pas été affectées (67 % contre 36 %).

Montant de la rançon

Le montant médian de la rançon pour les entreprises dont les sauvegardes ont été compromises s’élevait à 2 millions de dollars, soit presque le double de celui des organisations dont les sauvegardes étaient restées intactes (1,062 million de dollars). Ces entreprises ont également été moins en mesure de négocier le paiement de la rançon : celles dont les sauvegardes avaient été compromises payant en moyenne 98 % de la somme demandée. Celles dont les sauvegardes n’ont pas été compromises ont pu réduire le paiement à 82 % de la demande initiale.

Leçon N°4 : Les coûts de récupération après une attaque de ransomware sont 8 fois plus élevés lorsque les sauvegardes sont compromises

Toutes les attaques de ransomware n’entraînent pas nécessairement le paiement d’une rançon. Même lorsqu’une demande de rançon est envoyée, le paiement des rançons ne représente qu’une partie des coûts globaux de récupération en cas d’attaque de ransomware. Les interruptions/perturbations dues aux ransomwares ont souvent un impact considérable sur les transactions commerciales quotidiennes, tandis que la restauration des systèmes informatiques est souvent complexe et coûteuse.

Les coûts globaux médians de récupération après le passage d’un ransomware pour les entreprises dont les sauvegardes ont été compromises (3 millions de dollars) étaient huit fois plus élevés que ceux des organisations dont les sauvegardes n’avaient pas été affectées (375 000 $). Il y a probablement plusieurs raisons expliquant cette différence, notamment le travail supplémentaire généralement nécessaire pour restaurer à partir de données déchiffrées plutôt qu’à partir de sauvegardes bien préparées. Il se peut également qu’une protection de sauvegarde plus faible indique des défenses moins robustes et par conséquent un travail de reconstruction plus important à lancer par la suite.

Les entreprises dont les sauvegardes ont été compromises ont également observé un temps de récupération considérablement plus long, avec seulement 26 % d’entre elles ayant complètement achevé leur processus de restauration en une semaine, contre 46 % pour celles dont les sauvegardes n’avaient pas été affectées.

Recommandations

Les sauvegardes sont un élément clé d’une stratégie globale de réduction des cyber-risques. Si vos sauvegardes sont accessibles en ligne, vous devez partir du principe que les adversaires les trouveront. Les entreprises auraient tout à gagner à :

  • Effectuer des sauvegardes régulières en les stockant à plusieurs endroits différents. Faire en sorte d’ajouter le MFA (authentification multifacteur) aux comptes de sauvegarde Cloud pour empêcher les attaquants d’y accéder.
  • S’entraîner à récupérer à partir des sauvegardes. Plus vous maîtriserez le processus de restauration, plus vite et plus facilement vous vous remettrez d’une attaque.
  • Sécuriser les sauvegardes. Surveiller et répondre aux activités suspectes ayant lieu autour des sauvegardes, car cela peut indiquer que des adversaires tentent de les compromettre.

Comment Sophos peut vous aider ?

Sophos MDR : Plus de 500 experts surveillent et défendent votre entreprise

Sophos MDR est un service managé de détection et de réponse disponible 24h/24 et 7j/7, dirigé par des experts, spécialisé dans le blocage des attaques avancées que la technologie à elle seule ne peut stopper. Ce service étend votre équipe informatique/sécurité avec plus de 500 spécialistes qui surveillent votre environnement, détectant, investiguant et répondant aux activités et alertes suspectes.

Les analystes Sophos MDR exploitent la télémétrie des outils de sécurité que vous utilisez déjà, notamment votre solution de sauvegarde et de restauration, pour détecter et neutraliser les attaques avant que des dégâts ne soient causés. Avec un temps de réponse moyen aux menaces de seulement 38 minutes, Sophos MDR est considérablement plus rapide que la prochaine attaque prête à être lancée contre vous.

Sophos XDR : Permettre aux équipes IT de détecter et répondre aux attaques

Les équipes internes peuvent utiliser Sophos XDR pour obtenir la visibilité, les informations et les outils dont elles ont besoin pour détecter, investiguer et répondre aux menaces multi-étapes, au niveau de tous les principaux vecteurs d’attaque, et ce dans les plus brefs délais. Avec Sophos XDR, vous pouvez tirer parti de la télémétrie de votre solution de sauvegarde et de restauration, ainsi que de votre pile de sécurité étendue, pour détecter et répondre rapidement aux attaques.

Billet inspiré de The impact of compromised backups on ransomware outcomes, sur le Blog Sophos.