Ransomware: Databases ziekenhuis gered na panic shut down
Weinig andere onderwerpen worden in de media zo vaak besproken als ransomware. Dit komt door de explosieve groei van het aantal ransomware-incidenten dit jaar. Volgens internet security provider Kaspersky steeg het aantal gebruikers dat te maken kreeg met een aanval tussen april 2015 en maart 2016 met bijna 18 procent. Een ander interessant detail is dat het aantal ransomwarevirussen dat gebruikmaakt van encryptiemethodes met 25 procent is gestegen. Het jaar 2016 wordt om deze redenen door enkele deskundigen ’Ransomware Year’ genoemd. Het is dan ook niet verwonderlijk dat naast particulieren en bedrijven nu ook overheidsinstellingen en infrastructurele voorzieningen het doelwit zijn geworden van de cybercriminelen.
Deze casus gaat over een groot ziekenhuis in Duitsland dat slachtoffer werd van ransomware. De aanval met een Locky-virus had grootschalige gevolgen; niet alleen veel servers werkten niet meer en het ziekenhuis was slechts beperkt in bedrijf, ook veel niet-geïnfecteerde servers kregen er indirect mee te maken, omdat ze door het ICT-personeel in paniek van de stroom waren afgehaald terwijl ze nog in volle werking waren. Het probleem hiermee is dat bij gecompliceerde virtuele opslagsystemen onvoorziene problemen kunnen ontstaan na een stroomuitval.
Dit gebeurde bij een Dell EqualLogic PS6500ES storage array met 148 professionele harde schijven van ieder 100 GB. Toen de array weer werd opgestart werd een LUN met twee belangrijke Oracle-databases niet meer weergegeven en het LUN was daardoor niet meer toegankelijk. Nadat zowel de ICT-afdeling van het ziekenhuis en de technische support van Dell er niet in waren geslaagd het probleem op te lossen, werd Ontrack benaderd.
Een Dell EqualLogic PS6500ES-systeem bevat meerdere harde schijven, normaal disk aray enclosures (DAE) met 16 of 48 HDD’s in RAID 5- of RAID 50-systemen (subarrays). Het systeem maakt LUN’s aan die over alle subarrays verdeeld worden. Uit de door ons uitgevoerde analyse bleek dat van de zeven DAE’s met totaal 148 harde schijven er drie DAE’s met totaal 80 harde schijven waren die het gezochte LUN met de Oracle-databases bevatten. Echter waren veel koppelingen van de gegevens die verdeeld waren over de schijven óf corrupt, óf niet meer beschikbaar. Hierdoor was het juist toewijzen van de gegevens erg moeilijk. Koppelingen door een EqualLogic PS-systeem worden ook gecodeerd, waardoor ze niet makkelijk vindbaar zijn.
Ontrack R&D-experts in de VS werden ingeschakeld om de koppelingen te vinden en er werden tevens nieuwe softwaretools ontwikkeld om de problemen met koppelingen en corruptie bij zowel RAID als LUN voor eens en altijd op te lossen. Met behulp van deze nieuwe tools konden de experts de RAID 5- en RAID 50-systemen eindelijk op een juiste manier reconstrueren en het LUN weergeven. Binnen dit LUN zat een virtuele HDD, een VMDK-bestand, met twee Oracle-databases in een NTFS-bestandssysteem. Er moesten binnen het LUN dus nog twee bestandslagen gevonden en hersteld worden voordat de databases geëxporteerd konden worden.
Uiteindelijk slaagden de datarecoveryspecialisten uit Duitsland en de VS erin de tweede Oracle-database te extraheren, restoren en aan de klant te leveren. Met de data van Ontrack kon het Dell-systeem van het ziekenhuis weer worden aangevuld en verkeerde het weer in originele staat met alle belangrijke data weer beschikbaar.
Dit project laat duidelijk zien hoe belangrijk het is correct te handelen na een ransomware-aanval! Ontrack raadt bedrijven aan hun continuïteitsplannen aan de respectievelijke server- en opslaginfrastructuur aan te passen. Dit geldt ook voor de vastgestelde maatregelen bij een ransomware-aanval. In de bovenstaande casus werd de tip om het systeem zo snel mogelijk los te koppelen te letterlijk genomen, en zonder de hulp van Ontrack zouden alle databases verloren zijn gegaan. Als een systeem al geïnfecteerd is, is het altijd raadzaam een specialist op het gebied van data recovery, zoals Ontrack, in te schakelen voor deskundig advies en support.
Bekijk ook de volledige ransomware gids met alles over ransomware.
