Les utilisateurs qui pensent que leurs données sont à l'abri dans une sauvegarde cloud devraient se méfier. Une mauvaise configuration expose en effet leur héritage informationnel à des risques cyber de premier plan. Les pirates derrière le ransomware DoppelPaymer ont ainsi récemment publié sur un site leaké des identifiants (nom d'administrateur et mots de passe) d'un client ayant refusé de payer une rançon. Problème : ces derniers étaient relatifs à un compte de sauvegarde cloud Veeam, signifiant que les pirates ont eu dans leurs mains des données qui n'étaient pas dans le SI même de l'entreprise mais protégées dans le système d'un fournisseur tiers.
Bleeping Computer, qui a révélé cette affaire, précise que cette faille ne vise pas uniquement Veeam, loin de là, et que tous les services cloud de sauvegardes peuvent être concernés. « Pendant les attaques de rançongiciels, les attaquants compromettent un hôte individuel par le phishing, les logiciels malveillants ou les services de bureau à distance exposés », indique Bleeping Computer. « Une fois qu'ils ont accès à une machine, ils se propagent latéralement sur le réseau jusqu'à ce qu'ils aient accès aux informations d'identification de l'administrateur et au contrôleur de domaine. À l'aide d'outils tels que Mimikatz, ils procèdent au vidage des informations d'identification à partir d'active directory ». Le fait que des administrateurs configurent Veeam pour l'authentification Windows facilite grandement la tâche des pirates pour voler des données cloud. Pour sa défense, le spécialiste de la sauvegarde nous explique « avoir toujours préconisé de créer des comptes séparés pour les installations et les composants de Veeam, d’utiliser des comptes hors-domaine pour ces composants, afin d'ajouter un niveau additionnel de résilience basé sur les comptes. Enfin, il recommande que l’infrastructure de sauvegarde n'ait pas d'accès à Internet ou qu'il soit sur un réseau de gestion isolé.»