Réponse à incident après une cyberattaque lorsqu’il y a perte de données

Une intervention immédiate pour une reprise d’activité rapide

Répondre à un incident de sécurité après une cyberattaque

Depuis 20 ans, Recoveo développe un savoir-faire unique dans la récupération de données sur serveurs défaillants ou en panne à la suite de crashs RAID.
Nos ingénieurs ont développé des outils internes tels que RaidTool ou VirtualBlock pour récupérer des données dans les cas les plus complexes d’endommagement des structures logiques (configuration spécifique ou mauvaises manipulations).

La perte n'est pas toujours totale

Que l’intrusion des hackers dans le système informatique date d’il y a quelques jours ou de plusieurs mois, les cybercriminels agissent très vite lorsqu’ils lancent le cryptage et / ou sabotage des serveurs. Pris par le temps et face aux capacités souvent importantes des serveurs de stockage, les cybercriminels ne chiffrent pas forcément toutes les données. Dans le respect des procédures du Plan de Réponse aux Incidents, plus il existe des copies de sauvegarde, plus nous sommes capables de récupérer des données. En amont de notre intervention, nous réalisons une étude de faisabilité pour savoir si et dans quelles conditions nous pouvons récupérer des données perdues. N’oublions pas que chaque hacker ou groupe possède ses propres méthodes de cyberattaque qui évoluent avec le temps.

Notre dimensionnement technique et nos délais d’intervention après attaque

Que vous ayez une équipe de réponse aux incidents de sécurité informatique (CSIRT) ou non, nous pouvons vous aider. Notre capacité de traitement est telle qu’elle nous permet de gérer plusieurs récupérations simultanément. Nous avons choisi d’être en surcapacité humaine et technique permanente pour absorber un surcroît d’activité. Quel que soit le contexte, nous vous aidons à réintégrer vos données.
Nos outils internes comme RaidTool ont été développés grâce à notre politique d’amélioration continue : 10% de notre budget annuel est alloué à la R&D. Laboratoire d’intervention d’urgence, nous disposons de serveurs de prêt pour accélérer la récupération de vos données.
Motivés par une problématique de rapidité, nous mettons tout en œuvre pour détecter des données exploitables et servir une reprise d’activité rapide.

Les 10 commandements pour préserver vos données

Nous avons constaté que les systèmes de stockage qui nous sont confiés sont souvent manipulés dans la panique suite à l’attaque. Or, ces supports peuvent contenir des données qui n’ont pas été détruites et sont très sensibles aux réécritures.

Nous avons souhaité partager notre retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement de stockage dans le cadre d’une infection par ransomware.

Vous pouvez accéder au téléchargement gratuit de notre livre blanc « 10 conseils pour récupérer ses données suite à une cyberattaque par ransomware » en cliquant sur le bouton suivant :

Perte de données à la suite d’une cyberattaque : notre méthode

Pour maximiser la récupération de vos données chiffrées et assurer l’intégeité de la preuve, nous travaillons selon une méthodologie éprouvée :

Clonage sécurisé des disques infectés

Détection des paramètres et de la configuration RAID

Recherche des failles et couches de données antérieures à l’attaque

Tests d’intégrité et livraison des fichiers

Une réponse urgente aux incidents

Face à une cyberattaque et devant l’ampleur des risques, nous nous tenons prêts pour intervenir immédiatement via notre cellule d’urgence. Montée en moins de 60 minutes, elle se compose d’un ingénieur commercial, votre contact unique, et de plusieurs ingénieurs selon le nombre de serveurs infectés. Notre système d’astreinte nous permet de vous restituer les données trois fois plus rapidement qu’avec un traitement standard. Parce qu’une cyberattaque ne prévient pas, nous intervenons en journée et en soirée, les week-ends et les jours fériés.

La confidentialité de l’incident et des données assurée

Victime d’un ransomware, vous ne souhaitez pas que cela s’ébruite. Nous assurons une confidentialité totale des données et pouvons signer un NDA ou engagement de confidentialité. Les success stories de Recoveo sont volontairement anonymisées.

Recoveo est une société française qui récupère vos données dans ses laboratoires sans faire intervenir de sous-traitance. Les contrats de travail de nos collaborateurs incluent tous une clause de confidentialité.

Investigation numérique & sécurité

Les copies bas-niveaux de disques que nous réalisons sont protégées en écriture par des bloqueurs et non connectées au réseau internet. Ainsi, elles ne compromettent pas les preuves lors de l’investigation numérique.
En aval de la récupération de données et de la remise en route de serveurs, vous pourrez réaliser votre enquête sur l’incident. À votre demande, nous réalisons des copies forensiques des disques.

Récupération de données suite à cyberattaque par ransomware

Nos success Stories

Hiver 2022

Une entreprise du Nord de la France est infectée par le ransomware Ranzylocked.
Les sauvegardes Veeam qui sont stockées sur un NAS QNAP 3 x 8 To sont effacées avant le chiffrement des données.
6 machines virtuelles sont perdues (dont Exchange, Sage, le partage de fichiers), ce qui bloque totalement l’activité du client.
Nous mobilisons une équipe en astreinte pour rapatrier les disques durs par Taxi Colis et travailler pendant la nuit.
Sous 48 H, nous récupérons des fichiers vkb et vib qui sont corrompus, mais parvenons à extraire le contenu grâce à nos outils dédiés Veeam.

Eté 2022

Un industriel de l’Est de la France est attaqué par le ransomware CryLock qui chiffre entièrement son serveur Windows 2012.
Le client est en arrêt de production et n’a plus de visibilité sur ses commandes et échanges clients : son logiciel métier de CAO, ses logiciels de compatibilité / devis/ facturation et emails sont pris en otage par les hackers.
Le NAS Netgear contenant les sauvegardes des VM Acronis Backup (tibx) a été réinitialisé avant l’attaque.
Nos experts sont mobilisés en astreinte et parviennent à récupérer et extraire les premières sauvegardes valides des bases SQL server sous 3 jours.

Automne 2021

Le groupe Egregor s’introduit dans le SI mal sécurisé d’une PME pour chiffrer le serveur de stockage de production et saboter le NAS de sauvegarde Synology (backups Veeam et copies des fichiers VMware). Les sauvegardes locales ont été altérées et la sauvegarde externalisée n’est que partielle. Résultat : les 130 employés sont impactés, paralysant une partie des activités. Les fichiers de partage bureautique et DAO sont inaccessibles. Nous réussissons à récupérer une partie suffisante des fichiers sur le volume VMFS permettant aux collaborateurs une reprise d’activité rapide.

Eté 2021

Profitant d’un accès mal sécurisé, des hackers chiffrent le serveur principal d’une communauté de communes.
Les sauvegardes Veeam sont également sabotées. Une tentative de récupération par un logiciel a été menée sans succès.
6 machines virtuelles VMWare sont endommagées, provoquant la perte de la base de données Oracle, du serveur de partage de fichiers et du serveur de mail Exchange.
Les 2 NAS QNAP ont été réinitialisés via un accès administrateur.
En 4 jours, nous récupérerons une archive Veeam contenant tous les VM (700 Go).

Printemps 2021

Sauvetage réussi pour cet industriel de Nouvelle Aquitaine pris pour cible par une cyberattaque.
5 serveurs sont rendus inaccessibles par les assaillants.
Le serveur de production (ERP) et le serveur de messagerie sont cryptés. L’usine est à l’arrêt complet.
Une enquête est menée par la gendarmerie : ils saisiront les deux serveurs principaux.
Nous recevons le soir les 3 serveurs de sauvegarde. Il s’agit de 3 modèles Synology.
Nous retrouvons les traces d’un backup Veeam très récent.
Nous sauverons 100 % des données sous 4 jours.