Version française ci-dessous.

6 July 09:45 update

Important: Until officially advised otherwise, do not do anything to a computer that is connected to the RMC network. Do not turn it on, do not turn it off, do not reboot it, do not try to log in, and do not connect an external drive or USB key. Any of these actions could potentially make the situation worse. If you have an RMC computer at home (e.g. a laptop) it should be fine to continue using. However, do not take it to RMC and connect it to the RMC network. DWAN computers are also OK to use.

What happened. The RMC network has been attacked by ransomware. This is software that exploits security holes to install itself, then encrypts the contents of disks and demands a ransom to decrypt and restore access to the data. It appears the attack started early on the morning of Friday, 3 July.

Where are we now. Currently, all College information services have been shut down, including email, shared drives, login servers, MyServices, Moodle, Sharepoint, CISA, etc. This is partially a direct result of the attack and partially a tactic to limit the attack’s effect.

What’s being done. Efforts to limit the damage and restore core College services have been ongoing since the attack was detected Friday. College Information Services and Shared Services Canada are working with a team from the Canadian Forces Network Operations Centre that was dispatched to Kingston to assist. Members of the RMC Computer Security Lab are providing consulting support.

What you can expect. Complete recovery may take weeks.

  1. College core services will come back online over the next few days, one at a time in priority. There may be some minor data loss to core services as restoral will be from backups dating before the attack started. Once core services are restored, using them from off-campus computers will be safe.
  2. Once core services have been dealt with, you will receive instructions regarding individual computers on the RMC network. How these will be dealt with depends on the extent and severity of the attack, which is still being analyzed.
    • Best case: your data is unaffected and you’ll be able to resume work as if nothing had happened.
    • Worst case: your data is encrypted and not recoverable; you will have to rely on whatever backups you have.
    • Intermediate case: if we’re particularly lucky it may be possible to recover encrypted data, but this will take time.

More to follow when I have it. — Greg

6 juillet 09:45 mise à jour

Important : jusqu’à avis contraire officiel, ne faites rien à un ordinateur connecté au réseau du CMR. Ne l’allumez pas, ne l’éteignez pas, ne le redémarrez pas, n’essayez pas de vous connecter, et ne connectez pas de disque externe ou de clé USB. L’une ou l’autre de ces actions pourrait potentiellement aggraver la situation. Si vous avez un ordinateur du CMR à la maison (par exemple, un ordinateur portable), vous devriez pouvoir continuer à l’utiliser. Toutefois, ne l’apportez pas au CMR et ne le connectez pas au réseau du CMR. Les ordinateurs RED peuvent également être utilisés.

Ce qui s’est passé. Le réseau du CMR a été attaqué par un logiciel de rançon. Il s’agit d’un logiciel qui exploite les failles de sécurité pour s’installer, puis qui crypte le contenu des disques et demande une rançon pour décrypter et rétablir l’accès aux données. Il semble que l’attaque ait commencé tôt le matin du vendredi, 3 juillet.

Où en sommes-nous maintenant ? Actuellement, tous les services d’information du Collège ont été fermés, y compris le courrier électronique, les lecteurs partagés, les serveurs de connexion, MyServices, Moodle, Sharepoint, CISA, etc. C’est en partie un résultat direct de l’attaque et en partie une tactique pour limiter l’effet de l’attaque.

Ce qui est fait. Les efforts pour limiter les dégâts et restaurer les services de base du Collège se poursuivent depuis que l’attaque a été détectée vendredi. Les Services d’information du collège et les Services partagés du Canada travaillent avec une équipe du Centre d’opérations du réseau des Forces canadiennes qui a été envoyée à Kingston pour apporter son aide. Les membres du laboratoire de sécurité informatique du CMR fournissent un soutien consultatif.

Ce à quoi vous pouvez vous attendre. La récupération complète peut prendre des semaines.

  1. Les services de base du Collège seront remis en ligne au cours des prochains jours, un à la fois en priorité. Il est possible que les services de base subissent des pertes de données mineures, car la restauration se fera à partir des sauvegardes datant d’avant le début de l’attaque. Une fois les services de base restaurés, leur utilisation à partir d’ordinateurs hors campus sera securitaire.
  2. Une fois que les services de base auront été traités, vous recevrez des instructions concernant les ordinateurs individuels du réseau du CMR. La manière dont ces derniers seront traités dépend de l’étendue et de la gravité de l’attaque, qui est toujours en cours d’analyse.
    • Dans le meilleur des cas : vos données ne sont pas affectées et vous pourrez reprendre le travail comme si de rien n’était.
    • Pire cas : vos données sont cryptées et non récupérables ; vous devrez vous fier à vos sauvegardes, quelles qu’elles soient.
    • Cas intermédiaire : si nous sommes particulièrement chanceux, il sera peut-être possible de récupérer des données cryptées, mais cela prendra du temps.

Plus à suivre quand je l’aurai. — Greg