Cyberaanval op VMware Datastore en Virtuele Backups: Data gered
De klant
Een internationale high-tech incubator en innovatie denktank in de maakindustrie
Uitdaging
De klant was het slachtoffer van een cyberaanval. Gelukkig werd de ongewone activiteit tijdig ontdekt en werd het netwerk snel offline gehaald. Alle primaire VM's werden aangetast en de toegang tot de virtuele machines die de virtuele back-ups bevatten, ging verloren. OEM-ondersteuning voor het 110 TB NAS-systeem draaide de fabrieksreset van de configuratie terug, maar de back-upbestanden konden niet worden hersteld.
VMware-ondersteuning bevestigde dat de gegevens door de aanval waren beschadigd. Na bijna vier weken zonder gegevens bevond de klant zich in een kritieke situatie. Het was op dit punt dat ze de data recovery experts van Ontrack raadpleegden.
Oplossing
De 64 harde schijven van het NAS-systeem van de klant werden zorgvuldig verpakt en dezelfde dag nog verzonden. Een koerier bracht de zending vanuit Zuid-Europa naar het Duitse kantoor van Ontrack in Böblingen.
Vanwege de complexe configuratie van de gegevens begonnen de data recovery ingenieurs van Ontrack met het opzetten van een uitgebreid proces voor data recovery:
1.Consultatie
Het Ontrack-team werkte samen met het team van de klant om de omvang van het gegevensverlies en de getroffen individuele opslagsystemen te bepalen. Op basis van een prioriteitenlijst en de vastgestelde omvang stelde Ontrack een projectplan op, een te verwachten tijdsplan en bepaalde het de kosten voor gegevensherstel.
2.Diagnose
De data recovery-experts van Ontrack gebruikten eigen ontwikkelde tools om toegang te krijgen tot de vier verschillende RAID-configuraties van de klant en hun LUN-opstellingen. Ze keken ook naar verschillende opslaglagen, zoals de VMware Datastore en verschillende beschadigde 20TB+ VM's die de virtuele back-ups bevatten.
3. Gegevensherstel
Voor veel van de virtuele bestanden moesten het interne bestandssysteem en de zones opnieuw worden opgebouwd. Daaronder moesten er ook grote Windows Dynamic Disks worden gebouwd om bij de eigenlijke bestandsgegevens van de klant te komen. Gezien het enorme aantal lagen voerden de data recovery experts van Ontrack uitgebreid onderzoek uit dat resulteerde in het herstel van complete back-up bestanden, evenals VMware VMDK bestanden en alle snapshots. Eenmaal compleet werden de gegevens onmiddellijk gekopieerd naar met een wachtwoord beveiligde externe media en per koerier aan de klant geleverd.
Resultaat
De klant had veel tijd besteed aan verschillende pogingen om gegevens te herstellen, en toen deze geen succes bleken te hebben, werd men wanhopig. Binnen een week nadat ze Ontrack hadden ingeschakeld, voelden ze een gevoel van opluchting toen de eerste bestandslijsten van de belangrijkste virtuele machines beschikbaar werden gesteld en de eerste gegevens werden hersteld. Dankzij de toewijding, ervaring en snelheid van onze technici, gecombineerd met de mogelijkheden van de laboratoria van Ontrack, is er nu een ongekende oplossing voor gegevensherstel beschikbaar voor alle klanten van Ontrack die getroffen zijn door cyberaanvallen.