Fallstudie: Ryuk Ransomware-Angriff legt Netzwerk & Backup von Groß-Schulbezirk lahm

Montag, 8. März 2021 von Kathy Rogers

DST-IMG_Ransomware-Case-Study_Feb-2021

Die Herausforderung:

Ein internationaler Schulbezirk mit 165 Schulen wurde durch einen Ryuk-Ransomware-Angriff, der das gesamte Netzwerk betraf, lahmgelegt.

Der Angriff wurde erkannt und unterbrochen, aber ein großer Teil der Serverumgebung und ein Teil der Backup-Umgebung war bereits betroffen. Der Kunde versuchte daraufhin erfolgloswichtige Daten von seinem Commvault-Backupsystem (61TB) wieder herzustellen.

 

Die Lösung:

Ontrack nutzte selbst entwickelte Software und Services zur Remote-Datenwiederherstellung.  Nach einer umfassenden Analyse der IT-Infrastruktur stellen Ontrack Spezialisten fest, dass mehrere Laufwerke neu initialisiert und überschrieben worden waren. In solch einem Fall ist der Datenrettungsprozess schwierig, zeitintensiv und die vollständige Wiederherstellung der Systeme kann nicht garantiert werden.

Erheblich erschwert wurde die Situation, dass beim Cyberangriff auch die eingesetzte Backup-Lösung kompromittiert wurde, sodass diese ohne eine Neuinstallation des Commvault Servers nicht mehr in der Lage war, die auf 268 LTO4 Bändern gesicherten Daten zu lesen. Dies stellte die IT-Verantwortlichen vor neue Herausforderungen, denn für die Indizierung der LTO4 Bänder musste mit einem Zeitaufwand von rund einem Monat gerechnet werden.

 

Mit dem 24-Stunden-Notfallservice waren die Ontrack  Tape-Ingenieure dank dem Einsatz proprietärer Technologien  in der Lage, alle Bänder innerhalb von 3 Tagen zu katalogisieren und zu indizieren. Nach der Überprüfung wurden zahlreiche Bänder zur Wiederherstellung ausgewählt, die die wichtigsten Systeme enthielten. Diese wurden von Ontrack ausgelesen, so dass die Schule innerhalb von einer Woche den Betrieb ohne eine Lösegeldzahlung und ohne Einschränungen wieder aufnehmen konnte.