Le piratage catastrophique d'un fournisseur de services de messagerie détruit près de deux décennies de données
Relatives à des courriels
Le 2019-02-13 03:01:50, par Patrick Ruiz, Chroniqueur Actualités
VFEmail a, il y a peu, subi ce que l'entreprise appelle « destruction catastrophique » de la part d'un tiers encore inconnu qui est parvenu à détruire toutes les données primaires et de sauvegarde de l'entreprise aux États-Unis. D’après le fondateur de l’entreprise, c’est près de deux décennies de données relatives à des courriels qui sont perdues.
Fondée en 2001 et basée à Milwaukee dans le Wisconsin, VFEmail fournit un service de courrier électronique aux entreprises et aux particuliers. Les premiers signes de l'attaque ont fait surface le matin du 11 février lorsque le compte Twitter de l'entreprise a commencé à recevoir les rapports des utilisateurs qui disaient ne plus recevoir de messages. Quelques heures plus tard, une mise à jour tombait pour signaler que l’attaquant a tout formaté.
Envoyé par VFEmail
Dans un autre de ses interventions sur une plateforme en ligne, le fondateur de l’entreprise explique que l’attaquant a fait usage de plusieurs moyens d’accès à l’infrastructure mail. Il vient d’après ce dernier que l’authentification à deux facteurs mises en place n’a pu suffire pour contenir l’assaut.
Envoyé par Rick Romero
.
Le 11 février, une mise à jour est parue sur le site web de l’entreprise pour annoncer la reprise du service et que des efforts étaient faits pour récupérer les données des utilisateurs qui pourraient l’être.
Envoyé par Rick Romero
KrebsOnSecurity rapporte à propos des tentatives de récupération des données que l’entreprise a pu récupérer un disque de sauvegarde hébergé aux Pays-Bas, mais qu’il semble que les courriels des utilisateurs américains sont définitivement perdus. Un utilisateur de longue date de VFEmail confirme via le blog spécialisé en sécurité que l’attaque a entièrement effacé sa boîte aux lettres ; dans les chiffres, on parle de 60 000 courriels entrants et sortants.
Il est rare que des pirates informatiques prennent des mesures pour effacer (sans motivation apparente) toutes les données d'une entreprise, ce qui fait de l'épisode VFEmail un cas un peu à part. La plupart des attaques s'appuient généralement sur des serveurs compromis pour lancer des botnets, héberger des logiciels malveillants ou demander des rançons. En novembre 2015, l’entreprise a justement été la cible d'Armada Collective - un groupe de pirates qui exigeait des entreprises victimes des rançons pour arrêter des attaques DDoS.
La demande de rançon la plus importante jamais payée à ce jour est celle de Nayana. La société d'hébergement web sud-coréenne a versé 1 million de dollars en Bitcoin après que des intrus ont piraté son réseau et exécuté le logiciel de rançon Erebus qui cryptait les données sur des milliers de serveurs des clients.
En juin 2014, le fournisseur d'infrastructure en tant que service Code Spaces a été contraint de fermer ses portes après que des pirates ont également piraté ses serveurs et effacé ses serveurs.
Source : Twitter, KrebsOnSecurity
Et vous ?
Qu’en pensez-vous ?
Avez-vous une copie de sauvegarde de vos mails ou d'autres services en ligne que vous utilisez au cas où ?
Voir aussi :
Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées
Petya/NotPetya serait un wiper déguisé en ransomware, son objectif serait de supprimer irrévocablement les données de ses victimes
Les données chiffrées par le ransomware Jaff, demandant jusqu'à 5000$ à ses victimes, sont déchiffrables gratuitement avec un outil de Kaspersky
Fondée en 2001 et basée à Milwaukee dans le Wisconsin, VFEmail fournit un service de courrier électronique aux entreprises et aux particuliers. Les premiers signes de l'attaque ont fait surface le matin du 11 février lorsque le compte Twitter de l'entreprise a commencé à recevoir les rapports des utilisateurs qui disaient ne plus recevoir de messages. Quelques heures plus tard, une mise à jour tombait pour signaler que l’attaquant a tout formaté.
Dans un autre de ses interventions sur une plateforme en ligne, le fondateur de l’entreprise explique que l’attaquant a fait usage de plusieurs moyens d’accès à l’infrastructure mail. Il vient d’après ce dernier que l’authentification à deux facteurs mises en place n’a pu suffire pour contenir l’assaut.
Le 11 février, une mise à jour est parue sur le site web de l’entreprise pour annoncer la reprise du service et que des efforts étaient faits pour récupérer les données des utilisateurs qui pourraient l’être.
Il est rare que des pirates informatiques prennent des mesures pour effacer (sans motivation apparente) toutes les données d'une entreprise, ce qui fait de l'épisode VFEmail un cas un peu à part. La plupart des attaques s'appuient généralement sur des serveurs compromis pour lancer des botnets, héberger des logiciels malveillants ou demander des rançons. En novembre 2015, l’entreprise a justement été la cible d'Armada Collective - un groupe de pirates qui exigeait des entreprises victimes des rançons pour arrêter des attaques DDoS.
La demande de rançon la plus importante jamais payée à ce jour est celle de Nayana. La société d'hébergement web sud-coréenne a versé 1 million de dollars en Bitcoin après que des intrus ont piraté son réseau et exécuté le logiciel de rançon Erebus qui cryptait les données sur des milliers de serveurs des clients.
En juin 2014, le fournisseur d'infrastructure en tant que service Code Spaces a été contraint de fermer ses portes après que des pirates ont également piraté ses serveurs et effacé ses serveurs.
Source : Twitter, KrebsOnSecurity
Et vous ?
Voir aussi :
-
gallimaMembre avertiL'idée est de faire des copies sur bandes régulière via des robots de sauvegarde. Les bandes (cassettes) sont ensuite physiquement déplacés vers des centres de stockage adapté.
En terme de sauvegarde c'est aussi le plus rapide et le le moins chère.
Dans certains domaines (bancaire par exemple) cette pratique est même obligatoire.le 13/02/2019 à 9:22 -
transgohanExpert éminentC'est ce que je dis justement... C'est de l'amateurisme.
Voir la réponse de Gallima qui indique ce qui aurait du être fait et ce que je ciblais derrière le terme "archiver".
On doit toujours scinder sauvegardes et système en cours d'exécution.
Généralement on prévoit deux bâtiments différents.
Mais si c'est numérique, en réseau... Bah cela a beau être à deux endroits physique cela ne change rien au danger vu que c'est accessible au même moment de partout.
Par contre si c'est déconnecté du réseau alors il n'y a plus de souci et cela respecte bien les contraintes de sécurité.le 13/02/2019 à 10:20 -
FagusMembre expertDans l'absolu, à part faire des backups sur des médias physiquement en lecture seule, je ne vois pas trop ce qui pourrait empêcher un attaquant exceptionnellement puissant de tout détruire. Je veux dire, s'il a obtenu le privilège admin sur toutes vos machines, rien ne l'empêche de mettre une bombe logique qui écrase les données sur toutes les backup au moment où elles sont branchées. On peut avoir plusieurs backups déconnectées qu'on branche alternativement au réseau, mais c'est coûteux. Si on a juste deux jeux de sauvegarde, comment savoir si la sauvegarde ancienne n'est pas corrompue si justement la machine qui la vérifie est corrompue ? À part archiver sur une longue période beaucoup de sauvegardes réinscriptibles c'est compliqué.
Chez moi, sous windows, j'ai des jeux de sauvegarde sur disque dur déconnecté, faite par un utilisateur dédié ce qui fait que l'utilisateur courant n'a pas par défaut les droits d'écriture sur le disque dur (protection perso antiransomware), mais pour les données irremplaçables comme les documents et les photos, j'ai aussi des blue ray MDISC, juste au cas où...le 21/02/2019 à 16:10 -
transgohanExpert éminentOn comprends donc qu'ils n'avaient pas de sauvegardes ?
Ou bien que leurs sauvegardes n'étaient pas archivées ? (et donc que l'attaque a formaté les sauvegardes)
Incompétence totale... Cela me ferai peut d'avoir un sous-traitant comme ça.le 13/02/2019 à 8:20 -
Anselme45Membre extrêmement actifCette histoire ne fait que prouver que la politique de plus en plus courante des entreprises consistant à déléguer toute la responsabilité de leur informatique et de leur données à des sociétés tierces n'est qu'une vaste connerie.
Pour des raisons d'économie apparentes (apparentes car la solution est économique tant qu'il n'y a pas un problème), les entreprises jouent leur pérennité au dé en se jetant dans les bras de prestataires sans même en vérifier la crédibilité (quand c'est possible car la plupart du temps, il est même impossible de s'assurer du sérieux du prestataire).
Pensée émue pour un client de ma connaissance qui a déplacé son ERP dans le cloud d'un prestataire qui se dit professionnel: Quand ce prestataire vous ouvre un accès à distance avec tous les droits administrateur, il vous envoie les login/password en clair dans un mail. Et de toute manière à quoi cela servirait d'intercepter ce mail quand le login=le nom de l'entreprise et le password = l'année en cours?le 13/02/2019 à 12:10 -
transgohanExpert éminentLa sauvegarde sur bande et/ou déconnecté du réseau est très rarement mise en place on préférera pour beaucoup moins cher ajouter des obstacles.
Quand au coût... La blague je dis moi !
Quand on voit le coût d'un simple cron pour dupliquer le contenu d'un disque dur couplé à un système qui coupe physiquement un câble ethernet d'une seconde carte réseau...
A heure dite on reconnecte la liaison réseau, le cron se met en route un peu après, et ça recoupe le lien réseau après un temps qui est plus grand que le temps de copie.
On a ainsi un système de sauvegarde connecté périodiquement au réseau système et de manière autonome...
Et niveau coût n'importe qui dans son garage peut le faire.
Entre payer des ingénieurs sécurité pendant plusieurs mois pour blinder le système et mettre en place des choses simples...
La coupure physique sera toujours la meilleure solution.
Alors certes là on a une coupure qui n'est que partielle (du fait du temps de la copie) mais on peut imaginer couper le lien vers le réseau externe de la même façon durant la copie pour peu qu'on ai d'autres serveurs qui soient en redondances ailleurs pour que le client ait toujours son service en ligne.le 13/02/2019 à 16:05 -
DoksuriExpert confirmésur le site, un message en rouge :This person has destroyed all data in the US, both primary and backup systems.le 13/02/2019 à 8:58
-
abriotdeMembre chevronnépolitique de plus en plus courante des entreprises consistant à déléguer toute la responsabilité de leur informatique et de leur données à des sociétés tierces n'est qu'une vaste conneriele 13/02/2019 à 13:45
-
Christian_BMembre éclairé
Envoyé par abriotde
Particulièrement pour des entreprises qui conservent des données de volume raisonnable (ici des courriels) d'un grand nombre d'utilisateurs.
Compte tenu des moyens actuels de stockage, cela ne coûterait pas si cher. Comme l'ont remarqué plusieurs, il s'agit de négligence ou d'incompétence crasse.Envoyé par transgogan
D'une façon plus générale, je trouve que l'évolution des systèmes informatiques a privilégié la nouveauté (parfois superficielle), la sophistication et la puissance (souvent mal utilisée) sur la sécurité des données (qui devrait être basée sur des modèles rigoureux). De nombreux exemples le montrent, y compris ces bogues inattendues révélées récemment sur les processeurs Intel. On voit que même à ce niveau l'architecture n'est pas maîtrisée.
A plus forte raison aux niveaux plus élevés d'organisation dont le réseau internet constitue un système global d'une complexité inouïe et qui est exposé à une multitude de malveillances.le 22/02/2019 à 13:16 -
MimozaMembre avertiUne sauvegarde «froide» leur aurait sauvé la mise en effet. A voir comment le formatage a été fait mais avec un bon outil de récupération de données il y a moyen de rattraper pas mal de choses.le 13/02/2019 à 10:52