attaque ransomware sur serveur NAS QNAP en RAID5 composé de 32 disques
De la PME aux grandes entreprises, en passant par les particuliers et les institutions, personne n’est épargné par les attaques (ransomwares, piratage,…). Au cours de cette période de confinement, nous avons reçu, traité et réussi plusieurs dossiers de clients impactés. Pour celui-ci, il s’agit d’un client responsable d’une communauté d’agglomérations de plusieurs milliers d’habitants.
Retour sur le déroulé de la cyber-attaque
L’attaque est survenue le mercredi 15 avril 2020 est fut très rapide, comme nous le détectons rapidement dans les logs des serveurs. En quelques heures à peine, les accès aux deux NAS du système d’informations et de sauvegardes sont impossibles. Ces derniers, des QNAP TS EC880U composés de 8 disques de WD Red 4To, contenaient 4 volumes dont 2 virtualisés (VMware essentiellement) pour un total de 25To de données chacun. Bureautique, documents pdfs, archives … tout semble perdu… mais… !
Nous recevons ainsi la demande le 21 avril et organisons un enlèvement par taxi colis en urgence dès la validation de notre client. Les supports arriveront le soir même à 23h10 après plusieurs heures de route. Dans la nuit, nous commençons le diagnostic ainsi que le clonage des disques en parallèle, par sécurité conformément à nos process. Nous mobilisons une task-force dédiée, composée d’un spécialiste des composantes logiques RAID, d’un expert file system (notamment Linux et Ext), et de notre directeur technique. Les moyens techniques sont également là puisque nous utilisons 8 machines ultra puissantes dédiées, 20 disques de 8To pour les clones, un serveur cache pour les transferts, ainsi qu’un NAS de destination.
Un NAS très endommagé…
Au petit matin, les premières informations sont mauvaises. Les dégâts sont importants, notamment sur la structure des systèmes de fichiers en EXT4. Des réinitialisations ont été réalisés post-attaque afin de ne pas laisser de traces ! Les chances de succès sont très minces. Nous cherchons malgré tout à reconstruire une arborescence à partir du peu d’éléments que nous avons. L’assemblage des fragments et blocs de VM s’avèrera par la suite potentiellement réalisable mais beaucoup trop long et compliqué pour un traitement respectant l’urgence de notre client. Chaque tentative et analyse des volumes pouvant prendre plusieurs heures voir jours, nous décidons de nous concentrer sur les fichiers.
… mais une récupération des données totale !
Après de nombreuses analyses et manipulations logiques, nous réussissons enfin à retrouver la majeure partie des documents recherchés ! Un succès total, avec seulement quelques informations de structure non retrouvées. Mais l’essentiel pour notre client est là : ce sont ainsi plusieurs dizaine de milliers de dossiers et près de 15 millions de fichiers qui sont récupérés, dont environ 8 millions de pdfs après seulement quelques jours (et nuits !) de travail. Un résultat imprévisible et surtout inestimable !
Ne pas oublier de bien se protéger
Le retour des données s’est également effectué par taxi colis sur l’un de nos NAS de prêt. Notre client a d’ores et déjà prévu un second serveur de sauvegarde hors réseau pour parer à d’éventuelles futures attaques. Quoi qu’il en soit, restez prudents et n’oubliez pas de nous consultez en cas de problème !