En caso de un ataque de ransomware, muchas empresas ceden y pagan rescates a los delincuentes. Pero los atacantes también se ven presionados por el tiempo y se vuelven descuidados a la hora de cifrar. Puede que valga la pena que las empresas busquen partes no cifradas de los discos duros. Aquí usamos el ejemplo de un ataque de Akira.
Un ejemplo del trabajo del Equipo de respuesta a incidentes (DIRT) de DCSO muestra por qué sucede esto y cómo se puede utilizar esta situación para restaurar datos. Una víctima del ransomware Akira encargó a los expertos de DCSO restaurar los datos críticos para el negocio afectados. En este incidente, los atacantes obtuvieron acceso con éxito al hipervisor ESXi y pudieron instalar la versión Linux del ransomware Akira en el sistema. Apagaron todas las máquinas virtuales y cifraron los archivos .vmdk correspondientes (discos virtuales).
Akira Group había cifrado los datos
Para restaurar los datos lo más rápido posible, el equipo de DCSO arrancó un sistema operativo Linux en el host ESXi sin instalarlo. Luego se utilizó para la recuperación un disco duro de reemplazo del mismo tamaño que el almacén de datos de ESXi.
Después de iniciar el sistema operativo Linux, el equipo primero tuvo que identificar el almacén de datos ESXi que utiliza el sistema de archivos “VMware VMFS”. Todos los discos duros virtuales (.vmdk) se almacenan aquí. Para ello se buscó en el resultado del comando fdisk de Linux el sistema de archivos “VMware VMFS”.
Anzeige
Suscríbete al boletín ahora
Lea las mejores noticias de SEGURIDAD CIBERNÉTICA B2B una vez al mes
Ampliar para obtener detalles sobre su consentimiento
No hace falta decir que tratamos sus datos personales de forma responsable. Si recopilamos datos personales suyos, los procesamos de conformidad con las normas de protección de datos aplicables. Puede encontrar información detallada en nuestro
Política de privacidad
. Puedes darte de baja del newsletter en cualquier momento. Puede encontrar el enlace correspondiente en el boletín. Después de darse de baja, sus datos se eliminarán lo más rápido posible. La restauración no es posible. Si desea volver a recibir el boletín, simplemente vuelva a solicitarlo. Haga lo mismo si desea utilizar una dirección de correo electrónico diferente para su boletín. Si desea recibir el boletín informativo que se ofrece en el sitio web, necesitamos su dirección de correo electrónico, así como información que nos permita verificar que usted es el propietario de la dirección de correo electrónico proporcionada y que acepta recibir el boletín. No se recopilan más datos o solo se recopilan de forma voluntaria. Para procesar el boletín utilizamos proveedores de servicios de boletín, que se describen a continuación.
CleverReach
Este sitio web utiliza CleverReach para enviar boletines. El proveedor es CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Alemania (en adelante, "CleverReach"). CleverReach es un servicio que se puede utilizar para organizar y analizar la distribución de boletines. Los datos que introduce para recibir el boletín (por ejemplo, dirección de correo electrónico) se almacenan en los servidores de CleverReach en Alemania e Irlanda. Nuestros boletines enviados con CleverReach nos permiten analizar el comportamiento de los destinatarios del boletín. Esto puede incluir, entre otras cosas: Analiza cuántos destinatarios abrieron el mensaje del boletín y con qué frecuencia se hizo clic en qué enlace del boletín. Con la ayuda del llamado seguimiento de conversiones también se puede analizar si se ha realizado una acción predefinida (por ejemplo, comprar un producto en este sitio web) después de hacer clic en el enlace del boletín. Puede encontrar más información sobre el análisis de datos a través del boletín CleverReach en:
https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. El procesamiento de datos se basa en su consentimiento (Art. 6 Párr. 1 lit. a GDPR). Puede revocar este consentimiento en cualquier momento dándose de baja de la newsletter. La revocación no afectará a la legalidad de los tratamientos de datos ya realizados. Si no desea que CleverReach realice análisis, deberá darse de baja del boletín. Para ello, en cada mensaje del boletín ponemos a su disposición el enlace correspondiente. Los datos que nos proporcione con el fin de suscribirse al boletín serán almacenados por nosotros o por el proveedor del servicio del boletín hasta que se dé de baja del boletín y se eliminarán de la lista de distribución del boletín después de que se dé de baja del boletín. Los datos almacenados por nosotros para otros fines no se verán afectados. Una vez que se haya dado de baja de la lista de distribución del boletín, nosotros o el proveedor del servicio del boletín podemos almacenar su dirección de correo electrónico en una lista negra si esto es necesario para evitar futuros envíos. Los datos de la lista negra sólo se utilizarán para este fin y no se combinarán con otros datos. Esto sirve tanto para su interés como para el nuestro en el cumplimiento de los requisitos legales al enviar boletines informativos (interés legítimo en el sentido del art. 6, apartado 1, letra f del RGPD). El almacenamiento en la lista negra no está limitado en el tiempo.
Puede oponerse al almacenamiento si sus intereses superan a nuestros intereses legítimos.
Para obtener más información, consulte la política de privacidad de CleverReach en:
https://www.cleverreach.com/de/datenschutz/.
Procesamiento de pedidos
Hemos concluido un contrato de procesamiento de pedidos (AVV) para el uso del servicio mencionado anteriormente. Este es un contrato requerido por la ley de protección de datos, que garantiza que los datos personales de los visitantes de nuestro sitio web solo se procesen de acuerdo con nuestras instrucciones y de conformidad con el RGPD.
Sin embargo, apareció un mensaje de error en “vmfs-tools” que requería la aplicación de un parche existente. De este modo se pudo leer el contenido de los discos duros virtuales afectados, aunque todavía estaban cifrados.
Muchos archivos están sólo parcialmente cifrados
Es un error común pensar que los archivos cifrados por ransomware no se pueden recuperar. Sin embargo, esto depende del tipo de archivo cifrado, su tamaño y cómo se realizó el cifrado.
Cifrado en este incidente Akira el disco duro virtual de la VM solo parcialmente. Esto significa que los atacantes alcanzan velocidades de cifrado mucho más altas y la víctima tiene menos tiempo para reaccionar. Además, la mayor parte de la lógica de detección se basa en la suposición de cifrado completo y el impacto correspondiente en la utilización de la CPU, la similitud entre archivos cifrados y no cifrados y la tasa de E/S.
Por lo tanto, el equipo de DCSO primero intentó restaurar las particiones no cifradas en el disco duro de la VM. También se puede encontrar una partición NTFS intacta en las partes no cifradas. Esto se logró utilizando un script bash especialmente desarrollado. Luego, la recuperación de los datos críticos para el negocio comenzó utilizando Sleuth Kit.
Conclusión: las partes no cifradas ayudan con la recuperación
Dado que varias variantes de ransomware sólo cifran parcialmente los archivos, vale la pena comprobar las particiones NTFS en los discos duros virtuales afectados. Las partes no cifradas facilitan a los equipos de seguridad la recuperación de grandes cantidades de datos. Sin embargo, sólo debes aplicar el parche requerido a “vmfs-tools” una vez que hayas instalado el software desde los repositorios de tu distribución de Linux.
Más en DCSO.de
Acerca de la Organización Alemana de Seguridad Cibernética DCSO
Fundada en 2015, DCSO Deutsche Cyber-Sicherheitsorganisation GmbH ofrece a la economía alemana un espacio protegido e independiente del fabricante para la cooperación en todos los temas de ciberseguridad y desarrolla servicios de última generación para una ciberdefensa eficaz y eficiente.
Artículos relacionados con el tema
