In this article, we’ll break down what NIST 800-88 actually requires, why storage media of all types can defy expectations, and how verification services close the gap between intention and assurance.
Étude de cas : récupération du serveur SQL et de la base de données après une attaque de ransomware
Étude de cas : récupération du serveur SQL et de la base de données après une attaque de ransomware
Type d'appareil :
NAS de Thecus
Système de fichiers :
ReFS
Client :
Cabinet d'avocats indépendant
Un important cabinet d'avocats indépendant a récemment été victime d'une grave attaque de ransomware qui a compromis à la fois ses données de production et ses sauvegardes critiques. L'attaque a chiffré des bases de données Microsoft SQL Server essentielles, des fichiers Veeam Backup (VBK) et des fichiers de disques de machines virtuelles (VMDK), empêchant le cabinet d'accéder à des données clients et opérationnelles vitales.
En l'absence de sauvegardes fonctionnelles, le cabinet était confronté au risque d'un arrêt opérationnel important et d'une grave perte de données. Recommandé par son partenaire de réponse aux incidents, le cabinet d'avocats a contacté DriveSavers Data Recovery, un leader dans la récupération de données complexes, y compris après une attaque de ransomware.
Cette étude de cas explore la manière dont l'expertise technique de l'entreprise, les méthodes de récupération à distance sécurisées et les outils conçus sur mesure ont permis de restaurer avec succès les données de l'entreprise.
L’attaque par rançongiciel a visé le dépôt de sauvegarde du cabinet, stocké sur un NAS Thecus avec un LUN iSCSI de 12 To formaté avec le système de fichiers ReFS. Trois fichiers de sauvegarde Veeam ont été gravement endommagés, dont un contenant 20 clichés essentiels nécessaires à la restauration des bases de données SQL Server. De plus, 18 fichiers de disque virtuel (VMDK) intégrés à ces sauvegardes ont été corrompus. Les fichiers de sauvegarde Veeam ont été supprimés du NAS, une tactique courante dans les attaques par rançongiciel.
Le schéma était conforme aux attaques typiques de ransomware, où les données de production étaient cryptées tandis que les fichiers de sauvegarde étaient supprimés ou partiellement écrasés, ne laissant à l'organisation aucun moyen fiable de restaurer ses opérations.
DriveSavers Data Recovery a d’abord effectué une évaluation à distance le jour même, suivie d’un devis approuvé pour un service prioritaire. Les ingénieurs ont réalisé un processus de récupération en plusieurs phases, conçu pour répondre aux défis particuliers des sauvegardes SQL Server endommagées et des structures du système de fichiers ReFS.
La première phase a consisté en une analyse approfondie des métadonnées ReFS pour identifier et reconstruire les fichiers de sauvegarde Veeam supprimés. Les ingénieurs en récupération de données de DriveSavers ont conçu des algorithmes spécialisés afin de traiter les lacunes de données causées par des écrasements partiels. Grâce à cela, deux fichiers VBK ont été restaurés avec une intégrité de 98 %, conservant ainsi des points de restauration essentiels pour SQL Server et l’extraction de données de machines virtuelles.
L’étape suivante a porté sur la réparation des bases de données SQL Server. Les fichiers principaux de base de données SQL Server (MDF et LDF) étaient gravement corrompus, rendant impossible une restauration normale. Les ingénieurs ont isolé les bases de données, effectué des vérifications d’intégrité et utilisé des outils de réparation SQL sur mesure pour reconstruire les segments manquants. La restauration finale de la base de données a atteint un taux de réussite de 99 %, avec une perte de données minime touchant seulement quelques lignes non essentielles. DriveSavers a remis au client une base de données complètement montable.
La dernière étape consistait à extraire et à restaurer les données des machines virtuelles stockées dans les fichiers VMDK. Les ingénieurs de DriveSavers ont soigneusement reconstruit les systèmes de fichiers VMDK à partir des sauvegardes VBK réparées, récupérant avec succès une moyenne de 98% des données des machines virtuelles nécessaires pour restaurer les systèmes clés de l'entreprise.
Notre client a été confronté à un scénario de perte de données sans précédent, ce qui l'a placé dans une situation critique. Cette récupération complexe a exigé une approche à multiples facettes, poussant notre équipe à innover et à explorer des territoires inexplorés. L'issue positive a non seulement permis de récupérer des données inestimables, mais elle a également renforcé notre engagement à fournir une assistance inégalée et à obtenir des résultats exceptionnels pour nos clients.
-Shane Denyer, développeur en récupération de données
L'ensemble des opérations de récupération des données a été réalisé à distance en utilisant un processus hautement sécurisé conçu pour protéger les données sensibles du client. DriveSavers Récupération de Données a établi une connexion cryptée AES 256 bits avec des protocoles TLS et une authentification par mot de passe à plusieurs niveaux pour assurer une protection maximale des données tout au long du projet.
Toutes les données sont demeurées sur le site du client pendant la récupération, assurant ainsi le plein respect des normes légales de confidentialité et des obligations réglementaires.
La récupération de SQL Server et de la base de données a été un grand succès. Deux fichiers Veeam Backup ont été restaurés avec une intégrité de 98 %, y compris des instantanés critiques nécessaires pour la poursuite de la restauration du système. Les bases de données SQL Server ont été récupérées avec une intégrité de 99 %, et les données des machines virtuelles ont été restaurées avec une intégrité moyenne de 98 %.
Cette étude de cas met en évidence l'expertise de DriveSavers Récupération de Données dans la récupération de SQL Server et la restauration de bases de données après une attaque de ransomware très complexe. La récupération réussie des bases de données SQL Server, des sauvegardes Veeam et des données des machines virtuelles du cabinet d'avocats démontre la capacité de l'entreprise à gérer la corruption de données à plusieurs niveaux dans des circonstances extrêmes.
Pour des secteurs tels que les services juridiques, où l'intégrité et la confidentialité des données sont primordiales, le partenariat avec un fournisseur de récupération de données éprouvé peut faire la différence entre un rétablissement opérationnel complet et une perte de données catastrophique.
Si votre organisation nécessite une récupération experte de SQL Server ou de données après une attaque de ransomware, contactez DriveSavers Data Recovery dès aujourd'hui pour une assistance immédiate.
*Les délais d'exécution standard de DriveSavers sont de 1 à 2 jours ouvrables, les délais économiques de 5 à 7 jours ouvrables et le service prioritaire de 24 heures à 7 jours - à l'occasion, des circonstances particulières nécessitent plus de temps et sont approuvées par le client.
Pourquoi les cabinets d'avocats sont-ils souvent la cible de ransomwares?
Les cabinets d'avocats sont souvent des cibles privilégiées pour les attaques de ransomware en raison des données très sensibles qu'ils gèrent. Les dossiers confidentiels des clients, les stratégies juridiques, la propriété intellectuelle et les communications privilégiées rendent les organisations juridiques attrayantes pour les cybercriminels qui cherchent à obtenir des paiements élevés.
Le risque de dommages à la réputation et de conséquences réglementaires augmente la pression pour payer les rançons, ce qui rend essentiel pour les cabinets d’avocats de posséder à la fois de solides stratégies de protection des données et un accès à des services de récupération fiables.
Stratégies préventives pour le serveur SQL et la protection des sauvegardes
Bien que DriveSavers Data Recovery ait réussi à restaurer les données critiques du cabinet d’avocats, les incidents de ransomware soulignent l’importance de stratégies proactives de protection des données. La mise en place de mesures préventives peut réduire le risque de perte de données et simplifier les opérations de récupération.
Maintenir des copies de sauvegarde immuables peut aider à prévenir les rançongiciels de modifier ou de supprimer les données stockées, assurant ainsi un point de restauration fiable en cas d’attaque. La stratégie de sauvegarde 3-2-1, fortement recommandée — qui consiste à conserver trois copies des données, sur deux types de supports différents, dont une copie hors site — offre une protection supplémentaire grâce à la redondance.
Les sauvegardes « air-gapped », qui séparent physiquement les données de l'accès au réseau, peuvent fournir une protection supplémentaire contre les attaques à distance. Il est également important de tester régulièrement l'intégrité des sauvegardes, car cela permet de s'assurer que les données stockées peuvent être restaurées avec succès en cas de besoin. Le renforcement des mesures de sécurité des terminaux et l'utilisation d'outils de détection des menaces basés sur le comportement peuvent également aider à identifier les ransomwares avant qu'ils ne causent des dommages importants.
En intégrant ces stratégies, les organisations peuvent renforcer la résilience de leurs données et réduire le risque de temps d'arrêt prolongé en cas de ransomware.
Articles connexes
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish 
Japanese