Herstel van 400 virtuele schijven na cyberaanval ontevreden werknemer

Written By: Ontrack

Date Published: 11 september 2022 11:43:01 EDT

Herstel van 400 virtuele schijven na cyberaanval ontevreden werknemer

De klant

Een groot farmaceutisch bedrijf

Achtergrond

De klant was bezig een ander bedrijf over te nemen. Dit bedrijf had de meeste van zijn systemen had gevirtualiseerd. Toen de werknemers van het bedrijf vrijdag het kantoor verlieten, waren alle systemen operationeel en toen ze maandagochtend binnenkwamen, hadden ze geen toegang tot de virtuele machines. De klant nam contact op met de ondersteuningsteams van HP en VMware en ontdekte na een eerste onderzoek dat de virtuele machines en hun snapshots waren verwijderd van de bronvolumes. De volumes met de back-ups waren geïnitialiseerd - waarbij de back-upbestanden werden overschreven. De klant werd vervolgens doorverwezen naar Ontrack voor data recovery.

De oplossing

Het bedrijf vermoedde dat er opzet in het spel was, dus werd het Ontrack-beveiligingsteam naar de locatie van de klant gestuurd om een ​​onderzoek te starten tijdens het herstellen van de data. Het beveiligingsteam sloot het datacenter af, installeerde monitoringsystemen en startte vervolgens een volledig onderzoek naar de vermoedelijke inbreuk. Ontrack Background Screening werd ook ingeschakeld om een ​​achtergrondcontrole uit te voeren bij verdachte personen. Het team stelde al snel vast dat een persoon zich had aangemeld bij een systeem van buiten het bedrijf en vervolgens verbinding had gemaakt met een reeks systemen. Zodra het individu de VMware-server bereikte, heeft het individu opzettelijk de virtuele schijven en back-ups verwijderd. Deze persoon had toegang tot 27 van de 28 logical unit numbers (LUN's).

De klant kreeg een Remote Data Recovery-oplossing aangeboden. Ze hebben meerdere machines met elkaar verbonden en na verbinding werden Ontrack-teams toegewezen om een ​​evaluatie van de geleverde LUN's uit te voeren. De ingenieurs van Ontrack bevestigden dat de gegevens van het volume waren verwijderd. Ze gingen vervolgens verder met het identificeren van alle herstelbare gegevens op elke LUN en voorzagen de klant van rapporten met gedetailleerde gegevens. De evaluatie was erg uitdagend omdat de klant beperkte documentatie had, onbekende namen van virtuele machines, onbekende inhoud op de virtuele schijven en onbekende besturingssystemen. Ze hadden ook geen noodherstelplan voor dit systeem, dus het had veranderende prioriteiten tijdens de evaluatie. Nadat ze de enorme omvang van het probleem hadden vastgesteld, wat betekende dat het bedrijf geen essentiële recepten en andere medische benodigdheden kon leveren, heeft Ontrack een virtueel team samengesteld.

Het resultaat

Na beoordeling van de verstrekte rapporten en goedkeuring van de klant, hebben de Ontrack-teams de verwijderde gegevens geëxtraheerd en waar nodig de inhoud van beschadigde virtuele schijven geëxtraheerd naar nieuwe opslag die door de klant werd geleverd.

Voor wat betreft het onderzoek: De hoofdsysteembeheerder van het kleinere bedrijf verliet zijn dienstverband voordat er sprake was van de fusie en nam alle systeeminformatie mee. Het bedrijf werd gedwongen hem opnieuw in dienst te nemen als aannemer om kennis te delen met de overgebleven werknemers. Tijdens de tijd dat hij een contractmedewerker was, zette de hoofdbeheerder een vCenter op het netwerk van het bedrijf. Hij deed dit zonder medeweten van een van de andere werknemers . Hij beëindigde toen zijn contract en verliet het bedrijf zonder incidenten. Kort nadat hij het bedrijf voor de tweede keer verliet, ging het bedrijf door een fusie met een grotere farmaceutische onderneming. Tijdens de fusie werden sommige werknemers ontslagen, waaronder de vriend van de hoofdbeheerder. Tijdens ons beveiligingsonderzoek vonden onze onderzoekers een ongeoorloofde invoer van buiten het netwerk in een van de routerlogboeken. Dit leidde hen naar het malafide vCenter en van daaruit, na te hebben gewerkt met VMware-ondersteuning, besloten ze dat dit het systeem was dat werd gebruikt om alle virtuele schijven en hun snapshots te verwijderen.

Het Ontrack-team nam vervolgens contact op met de FBI en werkte samen met hun team, ze konden vaststellen dat het externe IP-adres toebehoorde aan AT&T. De FBI nam contact op met AT&T en ontdekte dat het IP-adres was geregistreerd bij een McDonalds. De FBI stuurde agenten naar de McDonalds en vond bewijs dat een van hun verdachten daar was geweest op de dag dat het incident plaatsvond. Zodra de veldagenten het bewijs hadden, confronteerden ze de verdachte en hij bekende de misdaad. Uit schriftelijke verslagen en gerechtelijke documenten leerde het team dat de hoofdadministrateur besloot wraak te nemen voor het ontslag van zijn vriend en het kleinere bedrijf een lesje te leren. Op een zondagmorgen stapte hij in zijn auto, reed naar de McDonalds in kwestie, kocht ontbijt met zijn creditcard en logde toen in op de openbare wifi. Van daaruit maakte hij verbinding met het malafide vCenter en ging hij verder met het verwijderen van alle virtuele machines en de back-ups.

Meer over:

Server data recovery service

Of

Neem contact op

 

Abonneren

KLDiscovery Ontrack B.V., De Brand 22, 3823 LJ Amersfoort, Nederland (Bekijk alle locaties)