Polska | Polski Lokalizacje

32 630 48 65 Rozpocznij Odzyskiwanie
32 630 48 65
32 630 48 65
Rozpocznij Odzyskiwanie

Wykorzystanie błędów hakerów w czasie ataku ransomware

Written By: Ontrack

Date Published: 10 stycznia 2025 07:05:50 EST

Wykorzystanie błędów hakerów w czasie ataku ransomware

Arrow Left Powrót do listy

Wyzwanie

Black Basta, jedno z największych zagrożeń typu Ransomware-as-a-Service na świecie, znane z podwójnych ataków wymuszających okup, przeprowadził atak ransomware na serwery klienta, szyfrując wszystkie maszyny wirtualne i kopie zapasowe.

Zaatakowane systemy obejmowały 96-dyskowy HP 3PAR8400, dwie jednostki LUN z 100 TB danych (jedna jednostka LUN z systemem Windows, druga ESX z 250VM) oraz kopie zapasowe danych VEEAM hostowane na 64 dyskach SAS na oddzielnym 3PAR7200.


Zapłacenie okupu nie pomogłoby w tym przypadku.

Jedna z najszybciej rozwijających się firm zajmujących się reagowaniem na incydenty cybernetyczne (CIR) w Europie początkowo pracowała nad tą sprawą. Jej eksperci zauważyli, że hakerzy popełnili błędy w generowaniu kodu i szyfrowaniu danych. Po skontaktowaniu się z kilkoma ekspertami z innej firmy w celu uzyskania pomocy, zdali sobie sprawę, że narzędzie deszyfrujące hakerów nie będzie w stanie odszyfrować żadnych danych, nawet jeśli klient zapłaci okup.

Firma CIR skontaktowała się z Ontrack, aby ustalić, czy dane można odzyskać.


Rozwiązanie

Korzystając z ustaleń dokonanych przez partnera, nasz zespół zbadał, czy można opracować niestandardowe rozwiązanie do odzyskiwania danych.

Wyrafinowanie tego cyberataku polegało na szyfrowaniu systemu pamięci masowej w wielu warstwach, zarówno w warstwie wirtualnego systemu plików, jak i w samych maszynach wirtualnych.

Przez wiele lat Ontrack badał różne rodzaje oprogramowania ransomware, aby mieć pewność, że w miarę rozwoju naszych narzędzi do odzyskiwania danych obsługujemy coraz liczniejsze i bardziej złożone wersje ransomware. W rezultacie nasza wiedza i doświadczenie rosną wraz z rozwojem nowych wersji. Nasza obszerna kolekcja narzędzi i metod odzyskiwania danych na wszystkich poziomach oznacza, że szanse na pomyślne odzyskanie danych w takich sytuacjach rosną każdego dnia.

Złożoność tego ataku ransomware popchnęła nas do rozwinięcia naszych narzędzi do odzyskiwania danych w trybie just-in-time (JIT). Dzięki JIT programiści Ontrack dostosowują nasz obecny zestaw narzędzi, aby poradzić sobie z określonymi problemami, takimi jak nowe struktury systemu przechowywania danych i zmiany w systemach plików innych firm, lub - jak w tym przypadku – odszyfrowywania danych na wielu warstwach.

Przez kilka tygodni programiści Ontrack pracowali nad zadaniem, usuwając uszkodzenia i błędy w bazach danych używanych przez klienta archiwów księgowych ze skompresowanymi plikami.  

Wynik

Ontrack zdołał odzyskać 88% wszystkich danych, w tym najbardziej istotne dane, których szukał klient – część systemu zarządzania dokumentami. Dostawca oprogramowania był w stanie odbudować bazę danych dla archiwum dokumentów księgowych.

To studium przypadku jest kolejnym dowodem na to, że pokonanie cyberataku wymaga współpracy zespołu specjalistów.



Czytaj więcej o JIT i dlaczego Ontrack jest światowym liderem w odzyskiwaniu danych.

 

 

Subskrybować

Powiązane Tematy

Głębokie wyszukiwanie danych w środowisku Dell / EMC Isilon

Dostępne tylko w Ontrack: IBM Storwize Data Recovery

Uszkodzony laptop Mac? Ontrack spieszy na ratunek
Usługi
Produkty
Zasoby
O-nas

KLDiscovery Ontrack Sp. z o.o, Sobieskiego 11, 40-082 Katowice, Polska (Zobacz wszystkie lokalizacje)

© 2025 KLDiscovery Ontrack - All Rights Reserved.