Première réponse suite à un incident Ransomware
Tout n'est pas perdu après un ransomware
La première chose à retenir concernant la cyberattaque est qu’elle se déroule très vite. Que les hackers se soient introduits dans votre système il y a plusieurs mois ou quelques jours ; lorsqu’ils lancent leur attaque, l’invasion se réalise rapidement. Les hackers œuvrent en groupe, selon leurs propres modalités qui évoluent avec le temps.
Dans la précipitation, ils n’ont pas forcément le temps de tout chiffrer, surtout face à des serveurs de stockage aux capacités importantes. De ce fait, plus vous possédez des copies de sauvegarde, plus nous avons de chance de récupérer des données en cas de ransomware.
Lorsque nous intervenons, nous analysons la faisabilité d’une telle mission afin de vous dire dans quelle circonstance nous pouvons récupérer vos données perdues.
Comment nous récupérons vos données malgré le chiffrement ?
Nous ne pouvons pas exposer sur un document public nos techniques, car les hackers s’en serviraient pour renforcer leur niveau d’attaque. Nous préférons rester discrets.
Nous pouvons néanmoins vous communiquer des exemples de réussites après la signature d’un NDA.
Le processus : récupération de données suite à une cyberattaque
Cellule d’urgence 24/7/365
1. Contactez nos experts en urgence au 06 08 68 94 98
2. Notre équipe d’astreinte intervient dans les plus brefs délais (sous 2h)
3. Précision sur l’ampleur de l’attaque et affinement des besoins (fichiers à récupérer)
Réception, clonage et diagnostic
1. Clonage immédiat des disques avec un processus sécurisé
2. Etat des lieux de l’attaque et des fichiers à récupérer
Récupération des données
1. Extraction des fichiers sur un serveur NAS
2. Liste de fichiers récupérés
3. Validation par le client
4. Expédition des données récupérées
Nos capacités techniques
Nos ingénieurs sont capables d’intervenir sur :
Tous systèmes de fichiers
Tous systèmes de backup
Tous types de machines virtuelles
Nos laboratoires sont équipés de 6 serveurs, 4 permettant la copie de 120 disques en simultané. Le plus gros volume traité à ce jour est un serveur de 1 Po (1000 To).
Nous avons développé nos propres outils à l’image de RaidTool ou VirtualBlock afin d’intervenir sur des systèmes RAID les plus complexes.
Notre filiale recoveosoftware édite des logiciels liés à la récupération de données.
Les qualités d’une bonne récupération
Il est important de récupérer des fichiers mais faut-il encore qu’ils soient utilisables. Notre objectif est toujours de rendre les données avec le meilleur rendu afin que la reprise soit la plus rapide chez notre client.
Le respect du délai annoncé est aussi très important. Nous effectuons en parallèle plusieurs actions afin que si une piste technique n’est pas bonne nous avons déjà avancée sur la prochaine.
Les tarifs
Notre offre est construite en fonction de plusieurs critères :
Le volume
de données à traiter (capacité des supports de stockage, nombre de fichiers…)
La technologie
(système de fichier, système d’exploitation…)
Le niveau
Le niveau de services (rapidité)
Notre coût est généralement entre deux à dix fois moins important que le coût de la rançon
Pourquoi ne pas payer la rançon ?
Payer la rançon, c’est financer le crime et les hackers
des entreprises cyberattaquées qui ont payé la rançon, n’ont pas récupéré toutes leurs données !
des entreprises cyberattaquées qui ont payé la rançon, ont été ciblées une deuxième fois
des entreprises cyberattaquées qui ont payé la rançon, ont été ont dû reconstruire leurs systèmes
SOURCE : Hiscox rapport 2022
Qui sont les intervenants sur les cas ransomware :
Nos équipes de spécialistes en récupération de données
Les services IT de l’entreprise (internes ou externalisés)
Les spécialistes en cybersécurité
Les experts d’assurance cyber
SOURCE : Hiscox rapport 2022
La cellule d’urgence
Lorsque nous recevons votre demande, elle est traitée immédiatement par notre cellule d’urgence montée en moins de 60 minutes.
Nous intervenons tout aussi bien durant le jour, la nuit, le week-end ou les jours fériés. Notre fonctionnement en astreinte vous permet de récupérer vos données trois fois plus rapidement qu’en passant par une intervention standard.
Notre équipe se compose d’un ingénieur commercial, votre interlocuteur unique, et d’ingénieurs spécialisés dans la récupération de données sur vos serveurs.
Nous modulons notre groupe selon le périmètre de la cyberattaque et l’urgence de la situation.
Les interventions peuvent se passer sur site dans certains cas.
Nos derniers dossiers traités
Retex#1 / Ransomwares de Janvier
📢 Une entreprise de logiciels pour l’industrie en Dordogne a subi une cyberattaque. Toutes les données sont chiffrées par le ransomware Play. 🔎 Nous recevons un serveur Dell contenant 6 disques durs SAS et 6 SSD. Nous constatons le cryptage de tous les fichiers à l’intérieur de toutes les machines virtuelles. Les fichiers de backup (vmdk) sont effacés. 🧩 La récupération des données par entête donne un résultat médiocre : absence d’arborescence et de nom
Ransomware Lockbit 3.0 : episode 2 !
Ransomware Lockbit 3.0 : encore une réussite ! Après le succès de Novembre suite à l’infection d’une PME du nord, les hackers de Lockbit ne
Récupérer des données après une attaque par le ransomware Dagon
Retour sur le traitement réussi du ransomware Dagon Un spécialiste de l’aéronautique dans le Sud Ouest de la France nous contacte après la demande de
Ransomware Lockbit 3.0 : la solution Recoveo !
Ransomware Lockbit 3.0 : récupérer ses données sans payer la rançon ! Vous rencontrez un problème suite au chiffrement de vos données par Lockbit dans
QNAP – Ransomware Deadbolt
QNAP – Encore une attaque Deadbolt ? Qnap Systems, Inc. a publié un avis de sécurité concernant la campagne de ransomware DeadBolt, qui semble cibler
Les menaces les plus dangereuses
en février 2023
No Data Found
Recoveo dans la cyber
État des lieux
- Cartographie
- Analyse de risque
- Analyse de vulnérabilité
Protection
- Threat intelligence
- Contrôle d'accès et gestion des identités
- Protection des postes de travail
- SIEM, SOC
Incident
- Communication interne et externe
- Gestion 24/24h de l'évènement
- Remédiation
- CERT
Recoveo
- Récupération de données
Reprise d'activité
- Restauration des données et systèmes
- Reprise des activités
- Capitalisation
- Forensic
Conservation de la preuve pour investigation
La récupération de données n’entrave pas la démarche d’investigation
Clonage systématique à réception de l’ensemble des disques avec protection en écriture
Analyse et récupération à partir des clones :
• Remontage virtuel du RAID sans le serveur
• Réintégration des clones dans un serveur
Ce qui est possible pour l'investigation :
• Réalisation de clone possible à réception
• Transfert des données sur un support, pour analyse
Confidentialité
Nous sommes bien conscients qu’une cyberattaque n’est jamais matière à communication.
Les success stories de Recoveo sont anonymisées.
Nous assurons une confidentialité totale des données et pouvons signer un engagement de confidentialité ou NDA. Notre société est 100% française et ne sous-traite pas de dossier, quel que soit le type de panne.
Une clause de confidentialité est incluse dans le contrat de travail de nos collaborateurs et vous garantit une intervention en toute discrétion.
Les 10 commandements pour préserver vos données
Nous avons constaté que les systèmes de stockage qui nous sont confiés sont souvent manipulés dans la panique suite à l’attaque. Or, ces supports peuvent contenir des données qui n’ont pas été détruites et sont très sensibles aux réécritures. Nous avons souhaité partager notre retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement de stockage dans le cadre d’une infection par ransomware.
Vous pouvez télécharger gratuitement notre livre blanc « 10 conseils pour récupérer ses données suite à une cyberattaque par ransomware ».
