Case Study: Aprovechando los Errores de los Hackers en un Ataque de Ransomware

Written By: Ontrack

Date Published: 6 de agosto de 2024 9:59:49 EDT

Case Study: Aprovechando los Errores de los Hackers en un Ataque de Ransomware

El Cliente

 Una corporación de viajes y turismo.

El Desafío  

Uno de los actores de amenazas más activos del mundo, conocido como Black Basta, que opera con un modelo de "Ransomware como Servicio", llevó a cabo un ataque de ransomware en los servidores de un cliente, cifrando todas las máquinas virtuales y las copias de seguridad. Los sistemas afectados incluían un HP 3PAR8400 con 96 discos, dos LUNs con 100TB de datos (un LUN ejecutaba Windows y el otro ESX con 250 máquinas virtuales), y los almacenes de copias de seguridad de VEEAM ubicados en un 3PAR7200 separado con 64 discos SAS.

Pagar el rescate no devolvería los datos.

Una de las empresas de Respuesta a Incidentes Cibernéticos (CIR) de más rápido crecimiento en Europa inicialmente trabajó en el caso. Sus expertos notaron que los hackers cometieron errores en la generación del código y el cifrado de los datos. Después de contactar a un socio para obtener ayuda, notaron que la herramienta de descifrado de los hackers no podría descifrar ningún dato, incluso si el cliente pagara el rescate. .

La empresa CIR contactó a Ontrack para determinar si los datos podían ser recuperados. 

La Solución

Usando los hallazgos del socio, nuestro equipo examinó si se podría desarrollar una solución personalizada de recuperación de datos. .

El sofisticado ataque cibernético afectó gravemente el sistema de almacenamiento al cifrar en múltiples capas, tanto en la capa del sistema de archivos virtual como dentro de las máquinas virtuales.

Durante muchos años, Ontrack ha seguido varios tipos de ransomware para asegurar que nuestro equipo de Investigación y Desarrollo (I+D) incluya el desarrollo de herramientas de recuperación relevantes. El conocimiento y la experiencia resultantes, junto con nuestra creciente colección de herramientas de recuperación propietarias en todos los niveles de almacenamiento, ayudan a aumentar la probabilidad de restaurar datos perdidos en estas situaciones. .

La complejidad de este ataque de ransomware justificó el desarrollo de herramientas de recuperación de datos "justo a tiempo" (JIT). Con JIT, el equipo de desarrollo de Ontrack ajusta nuestro conjunto de herramientas actual para adaptarse a problemas específicos como nuevas estructuras de sistemas de almacenamiento de datos y cambios en sistemas de archivos de terceros, o en este caso, descifrar datos en múltiples capas.

Durante varias semanas, los desarrolladores de Ontrack trabajaron en el caso y limpiaron los daños y errores de una base de datos archivada de contabilidad de un tercero con archivos comprimidos. 

El Resultado

Ontrack pudo recuperar el 88% de los datos, incluyendo los datos más relevantes que el cliente estaba buscando; parte de un sistema de gestión documental. El fabricante pudo reconstruir la base de datos para el archivo de documentos contables.  

Este estudio de caso demuestra una vez más que superar un ataque cibernético requiere un equipo de especialistas. Aprenda más sobre JIT y por qué Ontrack es el líder mundial en recuperación de datos

Recuperación de datos frente a un ataque de ransomware

Suscribirse

KLDiscovery Ontrack SL, Pº del Club Deportivo 1, edif. 4, 1ª planta, Pozuelo de Alarcón, Madrid, 28223, España (Mostrar todas las ubicaciones)