De klant: dienstverlener in reis- en toerisme branche
Een zakelijke dienstverlener in reis- en toerisme branche
De uitdaging: alle virtuele machines en back-ups werden versleuteld
Een van de meest actieve Ransomware-as-a-Service bedreigingsactoren ter wereld, Black Basta, bekend om zijn double extortion aanvallen, voerde een ransomware-aanval uit op de servers van een klant waarbij alle virtuele machines en back-ups werden versleuteld.
De getroffen systemen bestonden uit een HP 3PAR8400 op 96 schijven, twee LUN's met 100 TB aan gegevens (op één LUN draaide Windows en op de andere ESX met 250 VM's) en de VEEAM back-up datastores op een aparte 3PAR7200 op 64 SAS schijven.
Het betalen van losgeld zou de gegevens niet terugbrengen.
Een van de snelst groeiende Cyber Incident Response (CIR) bedrijven in Europa werkte aan de zaak. Hun experts merkten dat de hackers fouten hadden gemaakt bij het genereren van de code en het versleutelen van de gegevens. Samen met een partner, merkten ze dat de decryptietool van de hackers niet in staat zou zijn om gegevens te ontsleutelen, zelfs niet als de klant het losgeld zou betalen.
Het CIR-bedrijf nam contact op met Ontrack om te bepalen of de gegevens konden worden hersteld.
De oplossing: "just-in-time" doorontwikkeling van data recovery tools
Aan de hand van de bevindingen van de partner onderzocht ons team of "just-in-time" (JIT) data recovery tool ontwikkeling in dit geval mogelijk was.
De geavanceerde cyberaanval trof het opslagsysteem door versleuteling in meerdere lagen, zowel op de laag van het virtuele bestandssysteem als binnen de virtuele machines.
Ontrack volgt al vele jaren verschillende soorten ransomware om ervoor te zorgen dat onze R&D relevante hersteltools ontwikkelt. De resulterende kennis en ervaring, in combinatie met onze groeiende collectie eigen hersteltools op alle data opslag lagen, helpen de kans op herstel van verloren gegevens in deze situaties te vergroten.
De complexiteit van deze ransomware-aanval rechtvaardigde de ontwikkeling van "just-in-time" (JIT) tools voor gegevensherstel. Met JIT past het Ontrack-ontwikkelingsteam onze huidige toolset aan specifieke problemen aan, zoals nieuwe gegevensopslagsysteemstructuren en wijzigingen in bestandssystemen van derden of, in dit geval, het ontcijferen van gegevens op meerdere lagen.
Gedurende meerdere weken werkten de ontwikkelaars van Ontrack aan de zaak en ruimden beschadigingen en fouten op van een boekhoudkundige archiefdatabase van derden met gecomprimeerde bestanden.
Het resultaat: meest relevante gegevens inclusief database gered
Ontrack was in staat om 88% van de gegevens te herstellen, inclusief de meest relevante gegevens waar de klant naar op zoek was; een deel van een document management systeem. De fabrikant was in staat om de database opnieuw op te bouwen voor het archief van boekhoudkundige documenten.
Samenwerking van een team van verschillende specialisten
Deze casestudy toont eens te meer aan dat het overwinnen van een cyberaanval samenwerking van een team van verschillende specialisten vereist. Lees meer over JIT en waarom Ontrack wereldwijd marktleider is op het gebied van gegevensherstel.
Meer over:
Ransomware data recovery
of neem contact op