Der Kunde
Ein großer europäischer Tourismus Dienstleister für Urlaub, Reisen und Transport.
Die Herausforderung
Die Ransomware-as-a-Service Hacker Gruppe, Black Basta, welche für ihre doppelten Erpressungsangriffe bekannt ist, führte einen Ransomware-Angriff auf die Server eines Großunternehmens durch, der alle virtuellen Maschinen und Backups verschlüsselte.
Zu den betroffenen Systemen gehörten eine Hewlett Packard HP 3PAR8400 mit 96 Festplatten. Darauf zwei LUN mit je 100 TB Daten (auf einer LUN lief Microsoft Windows und auf der anderen VMware ESX mit 250 VMs). Daneben gab es einen Veeam-Backup-Datenspeicher auf einer separaten Hewlett Packard HP 3PAR7200 mit 64 SAS-Festplatten von dem Angriff betroffen.
Die Zahlung des Lösegeldes hätte die Daten nicht zurückbringen können.
Eines der am schnellsten wachsenden Cyber Incident Response (CIR)-Unternehmen in Europa arbeitete zunächst an dem Fall. Ihre Experten stellten fest, dass die Hacker bei der Codegenerierung und der Verschlüsselung der Daten schwere Fehler gemacht hatten. Nachdem sie einen Partner um Unterstützung gebeten hatten, bestand Gewissheit, dass das Entschlüsselungstool der Hacker nicht in der Lage war, die Daten zu entschlüsseln, selbst wenn der Kunde das Lösegeld zahlen würde.
Der Leiter der CIRT-Gruppe wandte sich an Ontrack, um festzustellen, ob die Daten wiederherstellbar wären.
Die Lösung
Anhand der Erkenntnisse des Partners untersuchte das Ontrack-Team, ob eine maßgeschneiderte Datenwiederherstellungslösung entwickelt werden könnte.
Der ausgeklügelte Cyberangriff betraf das Speichersystem mit Verschlüsselungen auf mehreren Ebenen sowohl auf der Ebene des virtuellen VMware VMFS Dateisystems als auch Daten innerhalb der virtuellen Maschinen.
Ontrack untersucht seit vielen Jahren verschiedene Arten von Ransomware, um sicherzustellen, dass das R&D Entwicklungsteam wirksame und relevante Datenrettungs-Tools hat. Das daraus resultierende Wissen und die Erfahrung in Verbindung mit der wachsenden Sammlung proprietärer Wiederherstellungstools auf allen Speicherebenen tragen dazu bei, die Wahrscheinlichkeit der Wiederherstellung verlorener Daten in vielen Situationen deutlich zu erhöhen.
Die Komplexität dieses Ransomware-Angriffs erforderte den Einsatz des "Just-in-Time" (JIT) Teams von Ontrack. Bei der JIT-Entwicklung passt das Entwicklungsteam die Software Tools und Methoden an bestimmte neue Probleme, individuell an wie z. B. neue Datenspeichersystemstrukturen und Änderungen an Dateisystemen von Drittanbietern. In diesem Fall war es die mehrfache Entschlüsselung von Daten auf unterschiedlichen Ebenen der Datenspeicherung in den virtuellen Maschinen was aufgrund des Codefehlers möglich wurde.
Über mehrere Wochen hinweg arbeiteten die Ontrack-Entwickler an dem Fall und bereinigten Schäden und Fehler in einer Buchhaltungsarchivdatenbank eines Drittanbieters mit komprimierten Dateien.
Das Ergebnis
Ontrack konnte 88 % der Daten wiederherstellen. Mit dabei waren viele der wichtigsten Daten, nach denen der Kunde suchte: Zigtausende Datensätze eines Dokumentenmanagementsystems. Der Hersteller war damit in der Lage, die Datenbank für das Archiv der Buchhaltungsunterlagen wieder aufzubauen.
Diese Fallstudie ist ein weiterer Beweis dafür, dass die Bewältigung eines Cyberangriffs ein Team von Spezialisten erfordert. Erfahren Sie mehr über JIT und warum Ontrack weltweit führend in der Datenwiederherstellung ist.
Wenden Sie sich an Ihr Ontrack-Datenrettungsteam, um zu erfahren, wie wir Sie bei der Wiederherstellung von Daten nach einem Ransomware Angriff aber auch bei der Wiederherstellung Ihrer virtuellen Maschinen unterstützen können.
Weitere Informationen zum Thema finden Sie unter