Haaste
Yksi maailman aktiivisimmista kiristyshaittaohjelmapalveluna (Ransomware-as-a-Service) -uhkatoimijoista, kaksoiskiristyshyökkäyksistään tunnettu Black Basta, teki kiristysohjelmahyökkäyksen asiakkaan palvelimiin salaten kaikki virtuaalikoneet ja varmuuskopiot.
Hyökkäyksen kohteeksi joutuneisiin järjestelmiin kuului 96-levyinen HP 3PAR8400, kaksi LUN-yksikköä, joissa oli 100 Tt dataa (toisessa LUN-yksikössä Windows ja toisessa ESX 250VM), sekä VEEAM-varmuuskopiointitietovarastot, jotka olivat erillisessä 3PAR7200-yksikössä 64 SAS-levyllä.
Lunnaiden maksaminen ei auttaisi tässä tapauksessa.
Yksi Euroopan nopeimmin kasvavista Cyber Incident Response (CIR) -yrityksistä työskenteli aluksi tapauksen parissa. Heidän asiantuntijansa huomasivat, että hakkerit olivat tehneet virheitä koodin luomisessa ja tietojen salaamisessa. Kun he olivat ottaneet yhteyttä useisiin muihin yrityksen asiantuntijoihin saadakseen apua, he ymmärsivät, että hakkerien salauksenpurkutyökalu ei pystyisi purkamaan tietoja, vaikka asiakas maksaisikin lunnaat.
CIR-yritys otti yhteyttä Ontrackiin selvittääkseen, voitaisiinko tiedot palauttaa.
Ratkaisu
Kumppaniyrityksemme havaintojen perusteella tiimimme tutki, voitaisiinko räätälöityä tietojen palautusratkaisua kehittää tapauksen ratkaisemiseksi.
Hienostunut verkkohyökkäys vaikutti tallennusjärjestelmään salaamalla tietoa useilla tasoilla sekä virtuaalisen tiedostojärjestelmän tasolla että virtuaalikoneissa.
Ontrack on jo vuosien ajan tutkinut erityyppisiä kiristyssohjelmia varmistaakseen, että tietojenpalautustyökalujemme jatkokehitys on ajantasalla, kun yhä lukuisampia ja monimutkaisempia kiristysohjelmaversioita on havaittavissa. Tämän seurauksena tietämyksemme ja kokemuksemme lisääntyy uusien versioiden kehittymisen myötä. Laaja kokoelmamme työkaluja ja menetelmiä tietojen palauttamiseen kaikilla tasoilla tarkoittaa, että mahdollisuudet onnistuneeseen tietojen palautukseen näissä tilanteissa lisääntyvät jatkuvasti.
Tämän kiristysohjelmahyökkäyksen monimutkaisuus motivoi tietojen palautustyökalujemme just-in-time (JIT) -kehittämiseen. JIT:n avulla Ontrackin kehittäjät muokkaavat nykyistä työkalupakettiamme niin, että se selviytyy erityisongelmista, kuten uusista tietojen tallennusjärjestelmärakenteista ja kolmansien osapuolten tiedostojärjestelmien muutoksista, tai tässä tapauksessa tietojen purkamisesta useilla kerroksilla.
Useiden viikkojen ajan Ontrackin kehittäjät työskentelivät asian parissa, korjaamalla vahinkoja ja virheitä kolmannen osapuolen tietokannassa.
Tulos
Ontrack pystyi palauttamaan 88 prosenttia kaikista tiedoista, mukaan lukien asiakkaan etsimät olennaisimmat tiedot; osa asiakirjojen hallintajärjestelmää. Ohjelmistotoimittaja pystyi rakentamaan tietokannan uudelleen kirjanpitoasiakirjojen arkistointia varten.
Tämä tapaus on jälleen yksi osoitus siitä, että kyberhyökkäyksen nujertaminen edellyttää asiantuntijoiden yhteistyötä.
Lue lisää JIT:stä ja siitä, miksi Ontrack on maailman johtava tiedonpalautusyritys.