
En cas d’attaque par ransomware, de nombreuses entreprises cèdent et paient des rançons aux criminels. Mais les attaquants sont également pressés par le temps et deviennent négligents en matière de chiffrement. Il peut être intéressant pour les entreprises de rechercher des parties non cryptées des disques durs. Ici, en utilisant l'exemple d'une attaque d'Akira.
Un exemple tiré du travail de l'équipe de réponse aux incidents du DCSO (DIRT) montre pourquoi cela se produit et comment cette situation peut être utilisée pour restaurer les données. Les experts DCSO ont été chargés par une victime du ransomware Akira de restaurer les données critiques pour l'entreprise concernées. Lors de cet incident, les attaquants ont réussi à accéder à l'hyperviseur ESXi et ont pu installer la version Linux du ransomware Akira sur le système. Ils ont arrêté toutes les machines virtuelles et chiffré les fichiers .vmdk (disques virtuels) correspondants.
Akira Group avait crypté les données
Pour restaurer les données le plus rapidement possible, l'équipe DCSO a démarré un système d'exploitation Linux sur l'hôte ESXi sans l'installer. Un disque dur de remplacement de la même taille que la banque de données ESXi a ensuite été utilisé pour la récupération.
Après avoir démarré le système d'exploitation Linux, l'équipe a d'abord dû identifier la banque de données ESXi qui utilise le système de fichiers « VMware VMFS ». Tous les disques durs virtuels (.vmdk) sont stockés ici. Pour ce faire, le résultat de la commande Linux fdisk a été recherché pour le système de fichiers « VMware VMFS ».
Cependant, un message d'erreur s'est produit dans « vmfs-tools » nécessitant l'installation d'un correctif existant. Le contenu des disques durs virtuels concernés pouvait alors être lu, même s'il était toujours crypté.
De nombreux fichiers ne sont que partiellement cryptés
On croit souvent à tort que les fichiers chiffrés par un ransomware ne peuvent pas être récupérés. Toutefois, cela dépend du type de fichier chiffré, de sa taille et de la manière dont le chiffrement a été effectué.
Crypté dans cet incident Akira le disque dur virtuel de la VM que partiellement. Cela signifie que les attaquants atteignent des vitesses de chiffrement beaucoup plus élevées et que la victime a moins de temps pour réagir. De plus, la plupart des logiques de détection reposent sur l'hypothèse d'un chiffrement complet et de l'impact correspondant sur l'utilisation du processeur, la similitude entre les fichiers non chiffrés et chiffrés et le débit d'E/S.
L'équipe DCSO a donc d'abord tenté de restaurer les partitions non chiffrées sur le disque dur de la VM. Une partition NTFS intacte peut également être trouvée dans les parties non chiffrées. Ceci a été réalisé à l'aide d'un script bash spécialement développé. La récupération des données critiques pour l'entreprise a ensuite commencé à l'aide de Sleuth Kit.
Conclusion : les pièces non chiffrées facilitent la récupération
Étant donné que diverses variantes de ransomware ne chiffrent que partiellement les fichiers, il vaut la peine de vérifier les partitions NTFS sur les disques durs virtuels concernés. Les parties non chiffrées permettent aux équipes de sécurité de récupérer plus facilement de grandes quantités de données. Cependant, vous ne devez appliquer le correctif requis à « vmfs-tools » qu'une fois que vous avez installé le logiciel à partir des référentiels de votre distribution Linux.
Plus sur DCSO.de
À propos de l'organisation allemande de cybersécurité DCSO
Fondée en 2015, DCSO Deutsche Cyber-Sicherheitsorganisation GmbH offre à l'économie allemande un espace protégé et indépendant des fabricants pour la coopération sur toutes les questions de cybersécurité et développe des services de pointe pour une cyberdéfense efficace et efficiente.