13. Mai 2022
Auf die Empfehlung der Hiscox Versicherung hin, wandte sich ein Steuerberater dessen Server-Infrastruktur durch einen Hacker-Angriff zerstört wurde für einen High-Priority Einsatz an unsere Attingo Techniker.
Der Kunde hatte zwar noch ein zwei Wochen altes Offline-Backup, welches nicht vernichtet wurde. Dieses war aber aufgrund der laufenden Jahresabschlüsse zur Weihnachtszeit zu alt gewesen und ein Nachbuchen wäre mit großem Aufwand verbunden gewesen. Zusätzlich existierte über eine FTP-Verbindung eine Iperius Datensicherung auf eine Synology, die mangels nativen Zugriff auf das NAS vom Angreifer nicht verschlüsselt sondern gelöscht wurden.
Die vier 12TB großen Festplatten wurden fehlerfrei auf weitere Arbeitskopien geklont, um anschließend parallelisiert das RAID5 zusammenzusetzen und das 32TB LVM zu analysieren. Die Btrfs Partition wies noch einen Datenbestand von 12TB auf, hierbei handelte es sich aber um private Daten auf einem unabhängigen Share für den sich die Erpresser offensichtlich nicht interessierten.
Im Rahmen der Datenwiederherstellung wurde die gesamte NAS-Partition auf Sektorebene durchforstet. Dabei konnten in verbliebenen Dateisystem-Fragmenten eine Vielzahl an gelöschten Dateien ausfindig gemacht und rekonstruiert werden. In Rücksprache mit dem Kunden wurden die geretteten Daten abschließend noch gezielt getestet, um zu ermitteln wie erfolgreich der Versuch der Wiederherstellung war. Es stellte sich heraus, dass mit der Wiederherstellung der gelöschten server_backup Daten fast der gesamte Datenverlust kompensiert werden konnte. Der Kunde hatte nach nur drei Tagen Stillstand seinen letztgültigen Datenbestand wieder und war nach der Datenrettung durch Attingo zeitnahe wieder handlungsfähig um die Jahresabschlüsse rechtzeitig abzugeben.