Étude de cas : Comment exploiter les erreurs commises par les hackers lors d’un ransomware

Written By: Ontrack

Date Published: 03/09/24 03:05

Étude de cas : Comment exploiter les erreurs commises par les hackers lors d’un ransomware

Le client

Une société de tourisme basée en Europe

Le défi

Black basta, l'un des acteurs les plus actifs dans le domaine du Ransomware-as-a-Service, connu pour ses doubles attaques d'extorsion, a mené une attaque par ransomware sur les serveurs d'un client, chiffrant toutes les machines virtuelles et les sauvegardes.

Les systèmes affectés comprenaient un HP 3PAR8400 de 96 disques, deux LUN avec 100TB de données (un LUN exécutant Windows et l'autre ESX avec 250VM), et les datastores de sauvegarde VEEAM situés sur un 3PAR7200 séparé de 64 disques SAS.

Le paiement de la rançon n'a pas permis de récupérer les données.

Une société européenne de réponse aux incidents cyber (CIR) en forte croissance est intervenue dans un premier temps sur le cas. Leurs experts ont noté que les hackers avaient commis de graves erreurs dans la génération du code et le cryptage des données. Après avoir demandé de l'aide à un partenaire, ils ont remarqué que l'outil de décryptage des hackers ne serait pas en mesure de décrypter les données même si le client payait la rançon.

La société CIR a contacté Ontrack pour déterminer si les données pouvaient être récupérées.

La solution

Sur la base des conclusions du partenaire, notre équipe a examiné la possibilité de développer une solution personnalisée de récupération des données.

La cyberattaque sophistiquée a affecté le système de stockage en cryptant plusieurs couches à la fois, sur la couche du système de fichiers virtuel et au sein des machines virtuelles.

Pendant de nombreuses années, Ontrack a suivi différents types de ransomwares pour s'assurer que notre service R&D développe des outils de récupération pertinents. Les connaissances et l'expérience qui en résultent, associées à notre collection croissante d'outils de récupération propriétaires à tous les niveaux de stockage, contribuent à augmenter la probabilité de restaurer les données perdues dans ces situations.

La complexité de cette attaque de ransomware a justifié le développement d'outils de récupération de données « Just In Time » (JIT). Avec le JIT, l'équipe de développement d'Ontrack ajuste notre ensemble d'outils actuels pour répondre à des problèmes spécifiques, comme de nouvelles structures de systèmes de stockage de données et des changements dans les systèmes de fichiers tiers, ou dans ce cas, le déchiffrage de données sur plusieurs couches.

Pendant plusieurs semaines, les développeurs d'Ontrack ont travaillé sur le cas et ont nettoyé les dommages et les erreurs d'une base de données d'archives comptables tierces avec des fichiers compressés.

Le résultat

Ontrack a pu récupérer 88% des données, y compris les données les plus pertinentes que le client recherchait : une partie d'un système de gestion de documents. Le fabricant a pu reconstituer la base de données pour l'archivage des documents comptables.

Cette étude de cas démontre une fois de plus qu'une équipe de spécialistes est nécessaire pour faire face à une cyberattaque. Apprenez-en plus sur JIT et sur les raisons pour lesquelles Ontrack est le leader mondial de la récupération de données.

Récupération de ransomware

 

 

Newsletter

KLDiscovery Ontrack Sarl, 2, impasse de la Noisette, 91370 Verrières-le-Buisson, France (voir tous nos bureaux)