+1 (888) 440-2404

Caso di studio: ripristino di SQL Server e database dopo un attacco ransomware

Caso di studio: ripristino di SQL Server e database dopo un attacco ransomware

Image of a digital storage device with a screen displaying "Random Username" and "Recovery: 100%" on a red background. Text reads "Case Study: Remote Ransomware Recovery" with a "Data Recovery" badge at the bottom right.

Tipo di dispositivo:
Thecus NAS

File system:
ReFS

Cliente:
Studio legale indipendente

[playht_listen_button inline=”yes” tag=”p”]

Un importante studio legale indipendente ha recentemente subito un grave attacco ransomware che ha compromesso sia i dati di produzione sia i backup critici. L’attacco ha criptato database essenziali di Microsoft SQL Server, file di backup Veeam (VBK) e file di disco di macchine virtuali (VMDK), lasciando lo studio senza accesso a dati fondamentali di clienti e attività.

Senza backup funzionanti disponibili, lo studio legale rischiava un’interruzione operativa significativa e una grave perdita di dati. Su raccomandazione del proprio partner di risposta agli incidenti, lo studio ha contattato DriveSavers Data Recovery, leader nel recupero dati complesso, anche in seguito ad attacchi ransomware.

Questo caso di studio illustra come le competenze tecniche dell’azienda, i metodi sicuri di recupero remoto e gli strumenti progettati su misura abbiano permesso di ripristinare con successo i dati dello studio legale.

La situazione di perdita dei dati

L’attacco ransomware ha preso di mira il repository di backup dello studio, archiviato su un NAS Thecus con un LUN iSCSI da 12 TB formattato con il file system ReFS. Tre file di backup Veeam sono stati gravemente danneggiati, incluso uno contenente 20 snapshot essenziali per il ripristino delle basi di dati SQL Server. Inoltre, 18 file di disco virtuale (VMDK) incorporati in questi backup erano corrotti. I file di backup Veeam sono stati eliminati dal NAS, una tattica comune negli attacchi ransomware.

Lo schema era coerente con i tipici attacchi ransomware, in cui i dati di produzione vengono crittografati mentre i file di backup vengono eliminati o parzialmente sovrascritti, lasciando l’organizzazione senza un modo affidabile per ripristinare le operazioni.

Processo e strategia di ripristino di SQL Server

DriveSavers Data Recovery ha iniziato con una valutazione da remoto nello stesso giorno, seguita da un preventivo approvato per un servizio prioritario. Gli ingegneri hanno eseguito un processo di recupero in più fasi, personalizzato per affrontare le sfide specifiche poste dai backup SQL Server danneggiati e dalle strutture del file system ReFS.

La prima fase ha comportato un’analisi approfondita dei metadati ReFS per identificare e ricostruire i file di backup Veeam eliminati. Gli ingegneri di DriveSavers specializzati nel recupero dati hanno sviluppato algoritmi dedicati per colmare le lacune di dati causate da sovrascritture parziali. Questo ha permesso di ripristinare due file VBK con un’integrità del 98 %, preservando punti di ripristino cruciali per SQL Server e l’estrazione di dati da macchine virtuali.

A person in white gloves is using a computer. The screen displays hexadecimal code and messages about an imaging process, including details such as dates, times, and statuses like "inactive state." A ViewSonic monitor is shown.
A person sits at a desk with multiple computer monitors displaying data and graphs. The room is filled with electronic equipment and shelving. The individual is focused on the screens, suggesting they are working or analyzing information.

La fase successiva si è concentrata sulla riparazione del database SQL Server. I file principali del database SQL Server (MDF e LDF) erano gravemente danneggiati, impedendo un ripristino normale. Gli ingegneri hanno isolato i database, eseguito controlli di integrità e utilizzato strumenti di riparazione SQL sviluppati su misura per ricostruire i segmenti mancanti. Il ripristino finale del database ha raggiunto un tasso di successo del 99 %, con una perdita minima di dati che ha interessato solo poche righe non critiche. DriveSavers ha fornito al cliente un database completamente montabile.

L’ultimo passaggio ha riguardato l’estrazione e il ripristino dei dati delle macchine virtuali memorizzati nei file VMDK. Gli ingegneri di DriveSavers hanno ricostruito con cura i file system VMDK a partire dai backup VBK riparati, recuperando con successo in media il 98 % dei dati delle macchine virtuali necessari per ripristinare i sistemi aziendali critici.

Il nostro cliente ha affrontato una perdita di dati senza precedenti, trovandosi in una situazione critica. Questo complesso recupero ha richiesto un approccio multifattoriale, spingendo il nostro team a innovare ed esplorare territori inesplorati. Il risultato ottenuto non solo ha permesso di salvare dati di inestimabile valore, ma ha anche rafforzato il nostro impegno a fornire un supporto senza pari e a garantire risultati eccezionali ai nostri clienti.
–Shane Denyer, Sviluppatore per il recupero dati

Processo sicuro di recupero remoto

L’intero processo di recupero dati è stato eseguito da remoto utilizzando una procedura altamente sicura, progettata per proteggere i dati sensibili del cliente. DriveSavers Data Recovery ha stabilito una connessione crittografata AES a 256 bit con protocolli TLS e autenticazione a più livelli tramite password per garantire la massima protezione dei dati durante l’intero progetto.

Tutti i dati sono rimasti presso la sede del cliente durante il recupero, garantendo il pieno rispetto degli standard legali di riservatezza e degli obblighi normativi.

Risultati: recupero riuscito di SQL Server e del database

Il recupero di SQL Server e del database è stato altamente riuscito. Due file di backup Veeam sono stati ripristinati con un’integrità del 98%, inclusi snapshot critici necessari per il proseguimento del ripristino del sistema. Le basi di dati SQL Server sono state recuperate con un’integrità del 99% e i dati delle macchine virtuali sono stati ripristinati con un’integrità media del 98%.

Conclusione

Questo caso di studio evidenzia l’esperienza di DriveSavers Data Recovery nel recupero di SQL Server e nel ripristino di database dopo un attacco ransomware altamente complesso. Il successo nel recupero delle basi di dati SQL Server, dei backup Veeam e dei dati delle macchine virtuali dello studio legale dimostra la capacità dell’azienda di gestire corruzioni di dati multilivello in circostanze estreme.

Per settori come i servizi legali, in cui l’integrità e la riservatezza dei dati sono fondamentali, collaborare con un fornitore di recupero dati comprovato può fare la differenza tra un pieno ripristino operativo e una perdita di dati catastrofica.

Se la vostra organizzazione necessita di un recupero esperto di SQL Server o di un recupero dati dopo un attacco ransomware, contattate subito DriveSavers Data Recovery per ricevere assistenza immediata.

*I tempi standard di DriveSavers sono di 1–2 giorni lavorativi, l’opzione Economy richiede 5–7 giorni lavorativi, mentre il servizio Priority è disponibile 24/7 – in alcune circostanze eccezionali, possono essere necessari tempi più lunghi, previa approvazione del cliente.

Inizia il recupero dei tuoi dati

Perché gli studi legali sono frequentemente presi di mira dai ransomware

Gli studi legali sono spesso obiettivi privilegiati per gli attacchi ransomware a causa dei dati altamente sensibili che gestiscono. Documenti riservati dei clienti, strategie legali, proprietà intellettuale e comunicazioni privilegiate rendono le organizzazioni legali particolarmente attraenti per i criminali informatici in cerca di riscatti elevati.

Il rischio sia di danni alla reputazione sia di conseguenze normative aumenta la pressione a pagare i riscatti, rendendo fondamentale per gli studi legali disporre di solide strategie di protezione dei dati e di accesso a servizi di recupero affidabili.

Strategie preventive per la protezione di SQL Server e dei backup

Sebbene DriveSavers Data Recovery abbia ripristinato con successo i dati critici dello studio legale, gli incidenti di ransomware sottolineano l’importanza di strategie proattive per la protezione dei dati. L’implementazione di misure preventive può ridurre il rischio di perdita di dati e semplificare le operazioni di recupero.

Mantenere backup immutabili può aiutare a impedire che i ransomware modifichino o eliminino i dati archiviati, garantendo un punto di ripristino affidabile in caso di attacco. La strategia di backup 3-2-1, ampiamente raccomandata — che prevede di mantenere tre copie dei dati, archiviate su due diversi tipi di supporto, con una copia conservata fuori sede — offre ulteriore protezione grazie alla ridondanza.

I backup isolati fisicamente (air-gapped), che separano i dati dall’accesso alla rete, possono offrire una protezione aggiuntiva contro gli attacchi remoti. I test regolari di integrità dei backup sono altrettanto importanti, poiché assicurano che i dati archiviati possano essere ripristinati con successo quando necessario. Rafforzare le misure di sicurezza degli endpoint e utilizzare strumenti di rilevamento delle minacce basati sul comportamento può anche aiutare a identificare l’attività di ransomware prima che causi danni su larga scala.

Integrando queste strategie, le organizzazioni possono rafforzare la resilienza dei propri dati e ridurre il rischio di tempi di inattività prolungati durante un attacco ransomware.

Articoli correlati

Responsabile senior marketing presso DriveSavers
State scrivendo su DriveSavers, sul recupero dati o su un altro argomento legato alla tecnologia?
Contattaci.

Twitter
Torna su
Cerca