Kunden
Ett företag inom turistnäringen
Utmaningen
En av de mest aktiva hotaktörerna för Ransomware-as-a-Service i världen, Black Basta som är känd för sina dubbla utpressningsattacker, genomförde en ransomware-attack på en kunds servrar och krypterade alla virtuella maskiner och säkerhetskopior.
De drabbade systemen inkluderade en HP 3PAR8400 på 96 diskar, två LUN med 100 TB data (ett LUN kör Windows och det andra ESX med 250VM), och VEEAM backupdatastores som ligger på en separat 3PAR7200 på 64 SAS-diskar.
Att betala lösensumman skulle inte ge tillbaka data.
Ett av de snabbast växande Cyber Incident Response (CIR)-företagen i Europa arbetade inledningsvis med fallet. Deras experter märkte att hackarna hade gjort misstag i kodgenereringen och krypteringen av data. Efter att ha kontaktat flera experter i ett annat företag för att få hjälp märkte de att hackarnas dekrypteringsverktyg inte skulle kunna dekryptera någon data även om kunden betalade lösensumman.
CIR-företaget kontaktade Ibas Ontrack för att avgöra om data kunde återställas.
Lösningen
Med hjälp av partnerns resultat undersökte vårt team om en anpassad lösning för dataåterställning kunde utvecklas.
Den sofistikerade cyberattacken påverkade lagringssystemet genom att kryptera i flera lager både på det virtuella filsystemlagret och i de virtuella maskinerna.
I många år har Ibas Ontrack undersökt olika typer av ransomware för att säkerställa att vidareutvecklingen av våra verktyg för dataräddning stödjer de allt flera och mer komplexa versionerna av ransomware. Resultatet är att våra kunskaper och erfarenheter växer i takt med utvecklingen av nya versioner. Vår omfattande samling av verktyg och metoder för dataräddning på alla nivåer gör att chanserna att lyckas med en räddning i dessa situationer ökar för varje dag.
Komplexiteten i denna ransomware-attack motiverade "just-in-time" (JIT) utveckling av våra dataräddningsverktyg. Med JIT justerar Ibas Ontrack utvecklarna vår nuvarande verktygssats för att klara specifika problem, som nya datalagringssystemstrukturer och ändringar i tredjepartsfilsystem, eller i det här fallet, dechiffrering av data på flera lager.
Under flera veckor arbetade Ibas Ontracks utvecklare med uppdraget och rensade upp skador och fel i en tredjeparts databas för redovisningsarkiv med komprimerade filer.
Resultatet
Ibas Ontrack kunde återställa 88% av alla data, inklusive den mest relevanta data som kunden letade efter; en del av ett dokumenthanteringssystem. mjukvaruleverantören kunde bygga upp databasen igen för arkivet med redovisningsdokument.
Den här fallstudien är ännu en demonstration av att det krävs ett team av specialister som arbetar tillsammans för att övervinna en cyberattack.
Läs mer om JIT och varför Ibas Ontrack är världsledande inom dataräddning.