Go to Top

Comment Kroll Ontrack a pu sauver les bases de données d’un hôpital après l’attaque d’un ransomware

Il existe actuellement peu de sujets aussi souvent traité dans les médias que celui du ransomware. En effet, le nombre d’attaques recensées impliquant des ransomwares a augmenté de façon spectaculaire cette année. Selon le fournisseur de sécurité Internet Kaspersky le nombre total d’utilisateurs ayant été victimes d’une attaque a augmenté de près de 18% entre Avril 2015 et Mars 2016. Il est également intéressant de noter que le nombre de virus de type Ransomware qui utilisent des techniques de cryptage a augmenté de 25%. C’est d’ailleurs pour ces raisons que certains experts ont déjà nommé l’année 2016 comme « l’année du Ransomware ». Il n’est donc pas étonnant que de plus en plus de particuliers et d’entreprises soient attaqués de cette manière par des criminels.

Mais intéressons-nous de plus près à notre cas, un grand hôpital allemand ayant été touché par l’attaque d’un Locky Ransomware. Les conséquences ont été sévères : de nombreux serveurs ne fonctionnaient plus, limitant ainsi fortement le fonctionnement de l’hôpital. Le virus a également affecté d’une certaine manière des serveurs n’ayant pas été infectés directement, ceux-ci ayant été débranchés en pleine activité par le personnel informatique en panique. Malheureusement pour eux, des problèmes inattendus sérieux peuvent survenir sur les systèmes de stockage virtualisés très complexes lors d’une coupure de courant… Ce fut le cas d’une baie de stockage Dell EqualLogic PS6500ES composée au total de 148 disques durs, d’une capacité 100 Go chacun. Lorsque le réseau a été relancé, les employés ont remarqué qu’un LUN avec deux importantes bases de données Oracle n’était plus affiché par le système et n’était donc plus disponible. Le personnel informatique de l’hôpital assisté de l’équipe de support Dell n’ayant pu résoudre ce problème délicat, les spécialistes de Kroll Ontrack ont alors été contactés. Un système Dell EqualLogic PS6500ES comprend plusieurs disques durs, généralement 16 ou 48 racks de disques durs, connectés à des systèmes RAID 5 ou RAID 50 (sous-réseaux). Les LUN sont créés par le système et fragmentés, c’est à dire répartis sur tous les sous-réseaux. L’analyse du système a ainsi révélé que le LUN et les bases de données Oracle recherchés étaient contenus sur 80 disques durs répartis sur 3 racks, sur un total de 7 racks de 148 disques durs. Cependant, la plupart des fragments de données réparties sur tous les disques étaient soit corrompus ou indisponibles. De plus la configuration d’un système EqualLogic PS est codée dans une logique particulière, de sorte que les liens ne soient pas faciles à trouver…

Afin de trouver les liens dans la cartographie et de résoudre les problèmes de liaison et de corruption dans le RAID et le LUN, des techniciens Kroll Ontrack américains participant au projet ont dû développer de nouveaux outils logiciels. Avec l’aide de ces nouveaux outils, les experts ont finalement été en mesure de reconstituer correctement les systèmes RAID 5 et RAID 50 et d’afficher le LUN. Ce LUN était un disque dur virtuel – un fichier VMDK – qui contenait encore deux bases de données Oracle dans son système de fichiers NTFS. Ainsi, deux couches de fichiers supplémentaires ont dû être identifiées et restaurées dans le LUN avant que les bases de données ne puissent être exportées.

Grâce à cette collaboration, les ingénieurs en récupération de données allemands et américains  ont pu extraire, restaurer et livrer avec succès la deuxième base de données Oracle au client. Le système Dell a pu donc finalement être  « nourri » avec ces données récupérées par Kroll Ontrack et ramené à son état d’origine, de sorte que les données hospitalières, très importantes, soient à nouveau disponibles.

Ce projet de récupération de données montre clairement que lorsque vous êtes frappé par une attaque Ransomware, vous devez savoir exactement comment réagir !

C’est pour cette raison que Kroll Ontrack recommande d’adapter ses plans de reprise et ses plans de continuité d’activité après sinistre à chaque serveurs et infrastructures de stockage, de telle sorte que l’on sait quoi faire lorsqu’une perte de données de type Ransomware se produit. En effet, comme le montre clairement ce cas, l’astuce de mettre le système hors circuit le plus rapidement possible, a malheureusement été prise au pied de la lettre et sans l’aide de Kroll Ontrack il aurait presque pu conduire à une perte totale des bases de données. Mais si une infection a déjà eu lieu, il est toujours sage de contacter un spécialiste de la récupération de données comme Kroll Ontrack pour obtenir l’aide d’un professionnel.

Laisser un commentaire