Ataki ransomware oraz włamania na serwery NAS popularnych producentów, takich jak QNAP, Synology czy WD nasiliły się w 2022r. Ofiarami tych ataków padają już nie tylko małe firmy czy pojedynczy użytkownicy ale i sieci korporacyjne, a także firmy świadczące usługi chmur danych.

Przyczyny tych ataków są oczywiste (wyłudzenie okupu, wpłynięcie na funkcjonowanie przedsiębiorstwa …) , a zabezpieczenia w postaci dodatkowych serwerów na kopie zapasowe czy redundantnych dostępów do danych nie sprawdzają się niestety w przypadku takich ataków.

Dzieje się tak dla tego, że oprócz szyfrowania danych na jednostkach klienckich czy udziałów wystawionych do sieci po iSCSI,  nawet wydawałoby się dobrze zabezpieczone serwery NAS, poddają się podczas tych ataków. Przy takich atakach często niestety dochodzi do przełamania zabezpieczeń i usunięcia konfiguracji serwera NAS, co w konsekwencji uniemożliwia dostęp do danych.

Poskładanie takiej macierzy w celu odzyskania danych to prawdziwe wyzwanie. Tak było w przypadku serwera Synology RS3617RPXS z 12 dyskami po 6TB, jednego z większych zleceń z października 2022 roku. Zlecenie to postawiło przed naszymi inżynierami wiele wyzwań i problemów:

  • Podstawowa sprawa to miejsce na kopie danych klienta – Właściwie to należy dysponować minimum podwójną ilością przestrzeni dyskowej na kopie dysków oraz dane klienta. Należy również mieć możliwość wykonania wielu kopii w jednym czasie, bo przecież nie można czekać 10 dni aż się skopiują dyski jeden po drugim. W takich sytuacjach każdy dzień bez danych to ogromne straty dla klienta.
  • Włamanie na serwer NAS to przeważnie usunięta konfiguracja i zamazane części danych użytkowych. Co za tym idzie czas zaoszczędzony na wykonaniu kopii dysków jest wykorzystywany na analizę danych - rodzaj macierzy, kolejność dysków, wielkości bloków, ich rotacji i kilku innych czynników. Jest to bardzo czasochłonny i żmudny proces, niestety w większości ręczny.
  • Czas, to bardzo ważny czynnik. Ze względu na to, że współczesne macierze mają ogromne pojemności czas na wykonanie takich zleceń liczy się raczej w tygodniach niż dniach, a samo wykopiowanie odzyskanych danych też zajmuje swoje.
    W zleceniach tego typu niestety nie ma połowicznych rozwiązań. Są to dane dużych firm ( różnego rodzaju maszyny wirtualne, bazy danych, dokumenty, projekty, dane księgowe, poczta email itd. ) i niestetynie będą one użyteczne jeśli nie odzyska się pełnej struktury plików i katalogów.
  • Często do takich zleceń przed oddaniem ich do profesjonalnej firmy swoje 5 groszy dołoży informatyk lub wsparcie techniczne producenta, co prowadzi do pojawienia się kolejnych niewiadomych, a nawet dodatkowych uszkodzeń.
    To wszystko to tylko najważniejsze czynniki wpływające na proces odzyskania danych z serwera NAS po włamaniu. I nie ma tu znaczenia tak naprawdę czy to QNAP, SYNOLOGY, WD czy inny producent.

Administratorzy muszą zrozumieć, że kopia zapasowa to nie tylko zgranie danych na inne urządzenie. Do czasu jak pracują one w jednym środowisku stale wymieniającym dane to tylko połowiczne rozwiązanie. Dopiero gdy odłączamy to od systemu możemy mówić a kopii zapasowej. Skuteczna kopia zapasowa powinna znajdować się na zewnętrznym, odłączonym od systemu, nośniku.

Jak do tej pory tylko w 2022 roku pomogliśmy około dwudziestu klientom odzyskać dostęp do danych po włamaniu na serwer NAS. W kilku przypadkach mimo poprawnego odtworzenia konfiguracji danych nie udało się odzyskać ze względu na ich wcześniejsze zaszyfrowanie.

Jeśli mają Państwo problemy z dostępem do danych na macierzach RAID lub serwerach NAS zapraszamy na bezpłatną wycenę.