Die Situation
Ein führendes Pharmaunternehmen war gerade dabei, ein anderes Unternehmen zu übernehmen, das die meisten seiner Systeme virtualisiert hatte. Als die Nutzer des Unternehmens am Freitag das Büro verließen, waren alle Systeme betriebsbereit, und als sie am Montagmorgen wiederkamen, konnten die Nutzer nicht auf die virtuellen Maschinen zugreifen.
Der Kunde wandte sich an die Support-Teams von HP und VMware und stellte nach einer ersten Untersuchung fest, dass die virtuellen Maschinen und ihre Snapshots von den Quellvolumes gelöscht worden waren. Die Volumes, die die Backups enthielten, waren initialisiert worden, wodurch die Backup-Dateien überschrieben wurden.
Der Kunde wurde daraufhin zur Datenwiederherstellung an Ontrack verwiesen.
Die Herausforderung
Das Unternehmen vermutete sofort Sabotage, so dass das KLDiscovery-Sicherheitsteam zum Standort des Kunden geschickt wurde, um parallel zur Datenwiederherstellung eine Untersuchung einzuleiten. Das Computer Forensic Team sicherte den Zugriff auf das Netzwerk und Storage des Rechenzentrums, installierte diverse Netzwerk Analyse und Überwachungssysteme um dann mit einer umfassenden Untersuchung des mutmaßlichen Einbruchs zu beginnen. KLDiscovery Background Screening wurde ebenfalls hinzugezogen, um ein Screening der verdächtigen Personen durchzuführen.
Das Team stellte bald fest, dass sich eine Person von außerhalb des Unternehmens in ein System eingeloggt und dann eine Verbindung zu einer Reihe von Systemen hergestellt hatte. Sobald die Person den VMware-Server erreicht hatte, löschte sie absichtlich und böswillig die virtuellen Festplatten und Backups. Die Person hatte Zugriff auf 27 der 28 logischen Storage Einheiten (LUNs).
Der Kunde hatte ein erstes Beratungsgespräch mit Ontrack und dann als beste Lösung Remote-Data-Recovery Service beauftragt. Dafür wurden mehrere Rechner angeschlossen, und nach dem Verbindungsaufbau begannen die Ontrack-Teams mit der Analyse der bereitgestellten LUNs. Die Ontrack-Experten bestätigten, dass die Daten auf dem Volume gelöscht worden waren. Anschließend identifizierten sie alle wiederherstellbaren Daten auf jeder LUN und stellten dem Kunden Berichte mit detaillierten Angaben zu den Daten zur Verfügung.
Die Analyse so vieler LUNs war eine große Herausforderung, da der Kunde nur über eine begrenzte Dokumentation, unbekannte Namen von virtuellen Maschinen, unbekannte Inhalte auf den virtuellen Festplatten und unbekannte Betriebssysteme verfügte. Außerdem gab es keinen Notfallplan für dieses System, so dass sich die Prioritäten während der Evaluierung ständig änderten.
Da der Kunde kritische Medikamente und andere medizinische Güter nicht ausliefern konnte, stellte Ontrack mehrere Teams aus verschiedenen Niederlassungen rund um die Welt zusammen um die Arbeiten gezielt zu beschleunigen. Nach der Überprüfung der bereitgestellten Berichte und der Zustimmung des Kunden extrahierten die Ontrack-Teams die gelöschten Daten und extrahierten je nach Sachlage den Inhalt der beschädigten virtuellen Festplatten auf einen neuen, vom Kunden bereitgestellten Speicher.
Das Ergebnis
Bevor die Fusionsgespräche geführt wurden verließ der leitende Systemadministrator des kleineren Unternehmens das Unternehmen und nahm alle Informationen über die IT-System mit. Das Unternehmen war gezwungen, ihn als Auftragnehmer wieder einzustellen, um einen Wissensaustausch mit den verbleibenden Mitarbeitern durchzuführen.
Während seiner Zeit als externer Mitarbeiter richtete der leitende Administrator ohne Wissen der Exkollegen ein getarntes vCenter im Netzwerk des Unternehmens ein. Danach kündigte er seinen Vertrag und verließ das Unternehmen ohne Zwischenfälle. Kurz nach seinem zweiten Abgang, kam es zu einer Fusion mit dem größeren Pharmaunternehmen. Im Zuge dieser Fusion wurden einige Mitarbeiter entlassen, darunter auch der Freund des ehemaligen leitenden Administrators.
Während der Sicherheitsuntersuchung von KLDiscovery fanden die Ermittler in einem der Routerprotokolle einen nicht autorisierten Eintrag von außerhalb des Netzwerks. Der Eintrag führte sie zu dem versteckten vCenter, und nach Rücksprache mit dem VMware-Support stellten sie fest, dass es sich um das System handelte, das zum Löschen aller virtuellen Festplatten und ihrer Snapshots verwendet wurde.
Das KLDiscovery-Team informierte daraufhin das FBI und konnte in Zusammenarbeit mit dessen Team feststellen, dass die externe IP-Adresse zu AT&T gehörte. Das FBI setzte sich mit AT&T in Verbindung und erfuhr, dass die IP-Adresse auf ein McDonalds-Unternehmen registriert war. Das FBI schickte Außendienstmitarbeiter zu McDonalds und fand Beweise dafür, dass einer der Verdächtigen am Tag des Vorfalls dort gewesen war. Als die Agenten diese Beweise hatten, konfrontierten sie den Verdächtigen und er gestand die Tat.
Aus schriftlichen Berichten und Gerichtsakten erfuhr das Team, dass der leitende Administrator beschlossen hatte, sich für die Entlassung seines Freundes zu rächen und dem kleineren Unternehmen eine Lektion zu erteilen. An einem Sonntagmorgen setzte er sich in sein Auto, fuhr zu dem fraglichen McDonalds, kaufte mit seiner Kreditkarte ein Frühstück und loggte sich dann in das öffentliche WLAN ein. Von dort aus stellte er eine Verbindung zu dem versteckten vCenter her und löschte alle virtuellen Maschinen sowie die Backups.
Wenden Sie sich an Ihr Ontrack-Datenrettungsteam, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach einem Ransomware Angriff aber auch bei der Wiederherstellung Ihrer virtuellen Maschinen unterstützen können.
Weitere Informationen zum Thema finden Sie unter
[02/20]