Casestudy: Profiteren van fouten van hackers bij een Ransomware-aanval

Written By: Ontrack

Date Published: 15 augustus 2024 11:14:36 EDT

Casestudy: Profiteren van fouten van hackers bij een Ransomware-aanval

De klant: dienstverlener in reis- en toerisme branche

Een zakelijke dienstverlener in reis- en toerisme branche

De uitdaging: alle virtuele machines en back-ups werden versleuteld

Een van de meest actieve Ransomware-as-a-Service bedreigingsactoren ter wereld, Black Basta, bekend om zijn double extortion aanvallen, voerde een ransomware-aanval uit op de servers van een klant waarbij alle virtuele machines en back-ups werden versleuteld.

De getroffen systemen bestonden uit een HP 3PAR8400 op 96 schijven, twee LUN's met 100 TB aan gegevens (op één LUN draaide Windows en op de andere ESX met 250 VM's) en de VEEAM back-up datastores op een aparte 3PAR7200 op 64 SAS schijven.

Het betalen van losgeld zou de gegevens niet terugbrengen.

Een van de snelst groeiende Cyber Incident Response (CIR) bedrijven in Europa werkte aan de zaak. Hun experts merkten dat de hackers fouten hadden gemaakt bij het genereren van de code en het versleutelen van de gegevens. Samen met een partner, merkten ze dat de decryptietool van de hackers niet in staat zou zijn om gegevens te ontsleutelen, zelfs niet als de klant het losgeld zou betalen.

Het CIR-bedrijf nam contact op met Ontrack om te bepalen of de gegevens konden worden hersteld.

De oplossing: "just-in-time" doorontwikkeling van data recovery tools

Aan de hand van de bevindingen van de partner onderzocht ons team of "just-in-time" (JIT) data recovery tool ontwikkeling in dit geval mogelijk was.

De geavanceerde cyberaanval trof het opslagsysteem door versleuteling in meerdere lagen, zowel op de laag van het virtuele bestandssysteem als binnen de virtuele machines.

Ontrack volgt al vele jaren verschillende soorten ransomware om ervoor te zorgen dat onze R&D relevante hersteltools ontwikkelt. De resulterende kennis en ervaring, in combinatie met onze groeiende collectie eigen hersteltools op alle data opslag lagen, helpen de kans op herstel van verloren gegevens in deze situaties te vergroten.

De complexiteit van deze ransomware-aanval rechtvaardigde de ontwikkeling van "just-in-time" (JIT) tools voor gegevensherstel. Met JIT past het Ontrack-ontwikkelingsteam onze huidige toolset aan specifieke problemen aan, zoals nieuwe gegevensopslagsysteemstructuren en wijzigingen in bestandssystemen van derden of, in dit geval, het ontcijferen van gegevens op meerdere lagen.

Gedurende meerdere weken werkten de ontwikkelaars van Ontrack aan de zaak en ruimden beschadigingen en fouten op van een boekhoudkundige archiefdatabase van derden met gecomprimeerde bestanden.

Het resultaat: meest relevante gegevens inclusief database gered

Ontrack was in staat om 88% van de gegevens te herstellen, inclusief de meest relevante gegevens waar de klant naar op zoek was; een deel van een document management systeem. De fabrikant was in staat om de database opnieuw op te bouwen voor het archief van boekhoudkundige documenten.

Samenwerking van een team van verschillende specialisten

Deze casestudy toont eens te meer aan dat het overwinnen van een cyberaanval samenwerking van een team van verschillende specialisten vereist. Lees meer over JIT en waarom Ontrack wereldwijd marktleider is op het gebied van gegevensherstel. 

 

Meer over:

Ransomware data recovery

of neem contact op

Abonneren

KLDiscovery Ontrack B.V., De Brand 22, 3823 LJ Amersfoort, Nederland (Bekijk alle locaties)