Les groupes de ransomware utilisent la destruction des sauvegardes comme stratégie d'attaque principale
Les chercheurs en sécurité analysant les opérations de ransomware ont découvert des preuves de ciblage systématique des sauvegardes le 20 mars 2026, révélant comment les acteurs de la menace ont fait évoluer leurs tactiques pour maximiser les dommages et empêcher la récupération des victimes. Les fichiers récupérés à partir d'un serveur cloud central utilisé par plusieurs groupes de ransomware montrent des efforts coordonnés pour identifier, compromettre et détruire l'infrastructure de sauvegarde réseau avant de déployer des charges utiles de chiffrement.
La découverte met en évidence un changement fondamental dans les tactiques de ransomware, où les attaquants priorisent désormais la destruction des sauvegardes comme objectif principal plutôt qu'une considération secondaire. Cette approche garantit que les victimes ne peuvent pas restaurer leurs systèmes à partir de sauvegardes, les forçant à négocier une rançon. Les preuves suggèrent que plusieurs familles de ransomware ont adopté cette méthodologie, indiquant une adoption généralisée dans l'écosystème cybercriminel.
Les attaques de ransomware traditionnelles se concentraient principalement sur le chiffrement des fichiers et la demande de paiement pour les clés de déchiffrement. Cependant, les opérations modernes suivent désormais une approche en plusieurs étapes qui commence par la reconnaissance pour cartographier l'infrastructure de sauvegarde, suivie de la collecte d'identifiants pour obtenir un accès administratif aux systèmes de sauvegarde. Ce n'est qu'après avoir sécurisé le contrôle des mécanismes de récupération que les attaquants procèdent à la phase de chiffrement.
L'évolution tactique reflète la compréhension cybercriminelle que les organisations avec des sauvegardes intactes paient rarement des rançons. En éliminant les options de récupération, les acteurs de la menace augmentent considérablement leur levier lors des négociations. Ce changement a forcé les équipes de sécurité à reconsidérer les stratégies de sauvegarde et à mettre en œuvre des couches de protection supplémentaires autour de l'infrastructure de récupération critique.
L'analyse des fichiers récupérés révèle une documentation détaillée des vulnérabilités des systèmes de sauvegarde, y compris des erreurs de configuration courantes qui permettent un accès non autorisé. Les documents incluent des guides étape par étape pour compromettre les solutions de sauvegarde populaires, suggérant un effort coordonné pour partager les connaissances entre différentes opérations de ransomware. Ce partage d'informations représente un développement préoccupant dans la professionnalisation des groupes de ransomware.
Les systèmes de sauvegarde d'entreprise font face à une campagne de ciblage coordonnée
Les organisations de tous les secteurs font face à un risque accru en raison de ces tactiques de ransomware évoluées, les systèmes de sauvegarde d'entreprise devenant des cibles principales. Les entreprises s'appuyant sur une infrastructure de sauvegarde centralisée, en particulier celles utilisant des services de sauvegarde basés sur le cloud ou des solutions de stockage en réseau, sont les plus exposées. La méthodologie de ciblage affecte à la fois les architectures de sauvegarde sur site et hybrides, car les attaquants adaptent leurs techniques pour compromettre diverses technologies de sauvegarde.
Les petites et moyennes entreprises utilisant des configurations logicielles de sauvegarde standard sont particulièrement vulnérables, car beaucoup manquent d'équipes de sécurité dédiées pour mettre en œuvre des mesures de protection avancées des sauvegardes. Les méthodes d'attaque documentées ciblent spécifiquement les solutions de sauvegarde courantes, y compris Veeam, Commvault et Veritas NetBackup, suggérant que les attaquants ont développé des techniques spécialisées pour chaque plateforme. Les organisations utilisant des configurations par défaut ou des contrôles d'accès inadéquats autour des systèmes de sauvegarde courent un risque immédiat.
Les organisations de santé, les institutions financières et les opérateurs d'infrastructures critiques représentent des cibles de grande valeur en raison de leur dépendance à des opérations continues et des exigences de conformité réglementaire. Ces secteurs maintiennent souvent des systèmes de sauvegarde étendus pour répondre aux objectifs de temps de récupération, ce qui en fait des cibles attrayantes pour les groupes de ransomware cherchant un impact maximal. La nature systématique du ciblage des sauvegardes signifie que même les organisations avec des contrôles de sécurité primaires robustes peuvent voir leurs capacités de récupération compromises.
La méthodologie d'attaque affecte particulièrement les organisations qui n'ont pas mis en œuvre une segmentation appropriée des sauvegardes ou des systèmes de récupération isolés. Les entreprises utilisant des identifiants partagés entre les environnements de production et de sauvegarde, ou celles manquant de surveillance adéquate des systèmes de sauvegarde, courent un risque accru de perte complète de données lors d'incidents de ransomware.
Mettre en œuvre des stratégies de protection des sauvegardes en profondeur
Les organisations doivent immédiatement mettre en œuvre des mesures de protection des sauvegardes complètes pour se défendre contre ces campagnes de ciblage systématique. Le catalogue des vulnérabilités exploitées connues de la CISA fournit des conseils critiques sur la sécurisation de l'infrastructure de sauvegarde contre les vecteurs d'attaque connus. Les équipes de sécurité devraient prioriser la mise en œuvre de la règle de sauvegarde 3-2-1 avec des améliorations de sécurité supplémentaires : trois copies des données critiques, stockées sur deux types de supports différents, avec une copie maintenue hors ligne ou isolée du réseau.
Les étapes d'atténuation immédiates incluent la mise en œuvre de crédentiels administratifs séparés pour les systèmes de sauvegarde, l'activation de l'authentification multi-facteurs sur toutes les interfaces de gestion des sauvegardes, et l'établissement de la segmentation du réseau entre les environnements de production et de sauvegarde. Les organisations devraient déployer des solutions de surveillance spécifiques aux sauvegardes qui alertent sur les tentatives d'accès non autorisées, les modèles de suppression de données inhabituels ou les changements de configuration des politiques de sauvegarde. Les tests réguliers des procédures de restauration des sauvegardes garantissent que les capacités de récupération restent intactes même en cas d'attaque.
Les mesures de protection avancées incluent la mise en œuvre de solutions de stockage de sauvegarde immuables qui empêchent la suppression ou la modification des données de sauvegarde, même par des comptes administratifs. Les organisations devraient envisager de déployer des systèmes de sauvegarde avec des contrôles d'accès basés sur les rôles qui limitent les privilèges administratifs et nécessitent des flux de travail d'approbation pour les opérations critiques. Le Microsoft Security Response Center fournit des conseils supplémentaires sur la sécurisation de l'infrastructure de sauvegarde basée sur Windows contre les attaques d'escalade de privilèges.
Les équipes de sécurité doivent établir des procédures de réponse aux incidents spécifiquement adressant les scénarios de compromission des sauvegardes, y compris les protocoles pour activer les systèmes de récupération hors ligne et coordonner avec les fournisseurs de sauvegarde lors des incidents de sécurité. Les évaluations régulières de la sécurité de l'infrastructure de sauvegarde devraient inclure des tests de pénétration axés sur les contrôles d'accès aux systèmes de sauvegarde et les mécanismes de protection des données. Les organisations devraient également mettre en œuvre le chiffrement des sauvegardes avec des clés stockées séparément des données de sauvegarde pour empêcher les attaquants d'accéder aux informations récupérées même s'ils compromettent les systèmes de sauvegarde.
