Cyberangriff auf VMware-Datenspeicher und virtuelle Backups

Die Situation

Eine internationale Hightech-Schmiede und Innovation Thinktank wurde Opfer einer Cyber Attacke. Glücklicherweise konnten die ungewöhnlichen Aktivitäten zeitnah erkannt werden und das Netzwerk wurde schnell getrennt. Alle primären VMs waren kompromittiert und auch auf die virtuellen Maschinen mit den Veeam Sicherungsdaten gab es keinen Zugriff mehr. Der Kundensupport des 110 TB großen NAS Systems konnte zwar den Factory Reset der Konfiguration wieder rückgängig machen, allerdings konnten die Backup Dateien nicht mehr zurück gesichert werden.

Auch der VMware Support bestätigte zudem, dass die Daten durch den Angriff beschädigt wurden. Nach fast vier Wochen ohne Daten war der Kunde in einer sehr kritischen Situation und der Fall wurde mit den Experten von Ontrack besprochen.

Die 64 Festplatten der 4 LUNs des NAS Systems wurden noch am gleichen Tag sehr sorgfältig verpackt. Ein Kurier Fahrer brachte die Lieferung von Süd Europa in die deutsche Niederlassung von Ontrack in Böblingen.

Die Lösung

Aufgrund der sehr komplexen Verschachtelung der Daten, begannen die Experten von Ontrack einen umfangreichen Prozess für die Datenrettung auf die Beine zu stellen:

1.Beratung
Das Ontrack-Team konnte sich mit der IT des Kunden zusammenschließen und den Umfang des Datenverlusts und der betroffenen Speichersysteme ermitteln. Auf der Grundlage einer Prioritäten Liste und des festgelegten Umfangs konnte Ontrack einen Projektplan erstellen, die zeitlichen Erwartungen festlegen und die Kosten für die Datenwiederherstellung bestimmen.

2.Diagnose
Die Datenrettungsexperten nutzten die proprietären Tools von Ontrack um auf die vier verschiedenen Raid Konfigurationen und deren LUN Setups zugreifen zu können. Im Weiteren kamen verschiedene Speicherschichten wie der VMware Datastore und darin enthaltene beschädigte über 20TB große VMs und die darin enthaltenen Veeam Sicherungen dazu.

3. Datenwiederherstellung
Bei vielen Veeam VBK Dateien musste das interne Dateisystem und die Zonen wieder aufgebaut werden. Darunter gab es ebenfalls große Dynamic Disks zu simulieren, um an die eigentlichen Datensätzen des Kunden zu gelangen. Angesichts der enormen Verschachtelung, die vor ihnen lag, führten die Datenwiederherstellungsexperten von Ontrack umfangreichste Untersuchungen durch, die dazu führten, dass die Ingenieure mit Ihren Wiederherstellungstools am Ende komplette Backup Dateien, aber auch VMware VMDK Dateien mit allen Snapshots herstellen konnten. Die Daten wurden je nach Fertigstellung sofort auf Passwort geschützte externe Datenträger kopiert und wieder per Kurier an den Kunden geliefert.

Das Ergebnis

Der Kunde hatte viele Tage mit unterschiedlichen Versuchen zur Datenwiederherstellung verbracht und war verzweifelt. Innerhalb einer Woche machte sich aber enorme Erleichterung breit als die ersten Dateilisten der wichtigsten virtuellen Maschinen zur Verfügung gestellt wurden und die ersten Daten nach und nach zurück gesichert werden konnten. Dank der Sorgfalt, Erfahrung und Schnelligkeit unserer Techniker im Zusammenspiel mit den Möglichkeiten in den Ontrack Laboren ist eine beispiellose Ontrack Datenwiederherstellungslösung für alle Kunden möglich, welche durch Cyber Attacken getroffen werden.

Weitere Informationen zum Thema finden Sie unter:

Datenwiederherstellung nach einem Ransomware-Angriff

Datenrettung Tapes bei Ransomware

Lesen Sie unseren Ransomware-Leitfaden

Kontakt Ontrack Schweiz

Share Print Page