Tirar partido dos erros dos hackers num ataque de ransomware

O desafio

Um dos agentes de ameaças de Ransomware-as-a-Service mais activos do mundo, a Black Basta, conhecida pelos seus ataques de extorsão dupla, levou a cabo um ataque de ransomware aos servidores de um cliente, encriptando todas as máquinas virtuais e cópias de segurança.

Os sistemas afectados incluíam um HP 3PAR8400 de 96 discos, dois LUNs com 100 TB de dados (um LUN a executar o Windows e o outro o ESX com 250VM) e datastores de backup VEEAM alojados num 3PAR7200 separado em 64 discos SAS.

Pagar o resgate não ajudaria neste caso.

Uma das empresas de resposta a incidentes cibernéticos (CIR) de mais rápido crescimento na Europa trabalhou inicialmente no caso. Os seus peritos repararam que os piratas informáticos tinham cometido erros na geração do código e na encriptação dos dados. Depois de contactar vários especialistas de outra empresa para obter ajuda, eles perceberam que a ferramenta de descriptografia dos hackers não seria capaz de descriptografar quaisquer dados, mesmo que o cliente pagasse o resgate.

A empresa CIR contactou a Ontrack para determinar se os dados poderiam ser recuperados.

A solução

Usando as descobertas do parceiro, a nossa equipa investigou se uma solução de recuperação de dados personalizada poderia ser desenvolvida.

O sofisticado ataque cibernético afetou o sistema de armazenamento criptografando em várias camadas, tanto na camada do sistema de arquivos virtuais quanto nas máquinas virtuais.

Por muitos anos, a Ontrack vem pesquisando diferentes tipos de ransomware para garantir que o desenvolvimento de nossas ferramentas de recuperação de dados suporte as versões cada vez mais numerosas e complexas de ransomware. Como resultado, o nosso conhecimento e experiência crescem com o desenvolvimento de novas versões. A nossa extensa coleção de ferramentas e métodos para recuperação de dados a todos os níveis significa que as hipóteses de uma recuperação bem sucedida nestas situações estão a aumentar todos os dias.

A complexidade deste ataque de ransomware motivou o desenvolvimento just-in-time (JIT) das nossas ferramentas de recuperação de dados. Com o JIT, os desenvolvedores da Ontrack ajustam nosso conjunto de ferramentas atual para lidar com problemas específicos, como novas estruturas de sistemas de armazenamento de dados e alterações em sistemas de arquivos de terceiros ou, neste caso, decifrar dados em várias camadas.

Durante várias semanas, os desenvolvedores da Ontrack trabalharam na tarefa, limpando danos e erros em um banco de dados de terceiros para arquivos contábeis com arquivos compactados.

O resultado

O Ontrack conseguiu recuperar 88% de todos os dados, incluindo os dados mais relevantes que o cliente estava procurando; parte de um sistema de gerenciamento de documentos. O provedor de software foi capaz de reconstruir o banco de dados para o arquivo de documentos de contabilidade.

Este estudo de caso é mais uma demonstração de que é preciso uma equipe de especialistas trabalhando juntos para superar um ataque cibernético.

Leia mais sobre JIT e por que Ontrack é um líder mundial em recuperação de dados.