Datenwiederherstellung nach einem Ransomware-Angriff auf einen Synology NAS (Hyper Backup)

Ein kolumbianischer Architekt wandte sich kürzlich an uns, nachdem er einen besonders zerstörerischen Hackerangriff auf sein Synology-Speichersystem erlebt hatte.

Die Angreifer hatten nicht nur seine Daten verschlüsselt, wie es bei Ransomware üblich ist, sondern auch die Festplatten seines RAIDs zurückgesetzt und seine externe Sicherungsplatte formatiert.

In dieser kritischen Situation, in der sich der Synology-Support und herkömmliche Wiederherstellungstools als unzureichend erwiesen hatten, musste unser Team spezielle technische Lösungen implementieren.

Diese Fallstudie dokumentiert den gesamten Wiederherstellungsprozess, mit dem wir 580 GB an Geschäftsdaten (411.000 Dateien in 79.417 Ordnern) von Medien wiederherstellen konnten, die als unwiderruflich gefährdet galten.

Sie analysiert die besonderen technischen Herausforderungen, die mit dem BTRFS-Dateisystem und dem proprietären Format von Hyper Backup auftraten, und stellt die fortschrittlichen Methoden vor, die dieses Ergebnis ermöglichten.

Wir werden auch die praktischen Auswirkungen dieses Eingriffs auf die Sicherung von Speicher- und Backup-Infrastrukturen in einem Kontext untersuchen, in dem Cyberangriffe nun gezielt auf Datenschutzmechanismen abzielen.

Der Vorfall: ein akribischer Angriff

Unsere Geschichte beginnt in der Tat, als sich ein kolumbianischer Architekt nach einem besonders aggressiven Ransomware-Angriff an uns wendet.

Im Gegensatz zu herkömmlichen Angriffen, bei denen die Daten einfach nur verschlüsselt und ein Lösegeld gefordert wird, hatten die Cyberkriminellen einen radikaleren Ansatz gewählt: Sie hatten die RAID-Festplatten komplett zurückgesetzt und die Daten auf dem externen USB-Laufwerk (USB COPY), das als Backup diente, gelöscht.

Dies brachte das Opfer in eine äußerst prekäre Lage, da sogar seine Backup-Lösung ins Visier genommen worden war, und zeigte die zunehmende Raffinesse der heutigen Angriffe, die absichtlich auf Sicherungsmechanismen abzielen, um die Chancen auf Lösegeldzahlungen zu maximieren.

Die ersten erfolglosen Versuche

Bevor er sich an uns wandte, hatte der Architekt bereits einen logischen Ansatz zur Wiederherstellung seiner Daten versucht. Er hatte unter anderem versucht, PhotoRec zu verwenden, eine kostenlose Open-Source-Datenrettungssoftware, die für ihre Fähigkeit, verlorene Dateien wiederherzustellen, bekannt ist. Leider waren alle diese Versuche fehlgeschlagen.

Angesichts dieser Sackgasse wandte er sich auch an den offiziellen technischen Support von Synology, und obwohl sein Fall an höhere Support-Ebenen weitergeleitet wurde, konnte keine Lösung gefunden werden.

Es handelte sichum einen besonders komplexen Fall, der über die Standardverfahren zur Wiederherstellung hinausging und spezielle Fähigkeiten und Werkzeuge erforderte.

Unsere Intervention: erste Analyse

Als der Kunde uns kontaktierte, erhielten wir zwei Datenträger zur Analyse:

  • Eine Kopie (Abbild der externen 1-TB-Festplatte), die die Hyper Backup-Backups enthielt.
  • Eine der Festplatten des 4 TB RAID1, die mit BTRFS formatiert war.

Diese Konfiguration klärte uns sofort über die Komplexität des Falls auf. Einerseits hatten wir es mit einem BTRFS-Dateisystem zu tun, das für seine Robustheit bekannt ist, aber auch für die Schwierigkeit, Daten im Falle einer Beschädigung wiederherzustellen. Andererseits mussten wir ein potenziell manipuliertes Hyper Backup analysieren.

Erster Ansatz: Wiederherstellung von der RAID-Festplatte

Unsere erste Analyse konzentrierte sich daher auf die 4-TB-Festplatte, die als RAID1 mit dem Dateisystem BTRFS konfiguriert war. Wir konnten einige Dateien extrahieren, was an sich eine gute Nachricht war. Allerdings erkannten wir schnell eine wesentliche Einschränkung: Sowohl die Dateinamen als auch die Verzeichnisstruktur waren verloren gegangen.

Diese Situation ist typisch für die Wiederherstellung auf BTRFS nach einer schweren Beschädigung. Dieses moderne Dateisystem verfolgt einen grundlegend anderen Ansatz als herkömmliche Systeme, indem es die Metadaten (Namen, Pfade, Daten usw.) von den eigentlichen Daten trennt. Wenn die Metadaten beschädigt sind, ist es oft möglich, die Rohdaten wiederherzustellen, allerdings ohne ihre wesentlichen Attribute.

Obwohl technisch erfolgreich, hätte dieser Ansatz viel Zeit für die Reorganisation und Identifizierung der Dateien benötigt. Für einen Architekten, der schnell auf bestimmte Projekte zugreifen muss, war diese Lösung nicht optimal.

Zweiter Ansatz: Analyse von Hyper Backup.

Wir richteten unsere Aufmerksamkeit daher auf die externe 1-TB-Festplatte mit den Hyper Backup-Backups. Unsere Analyse ergab rund 580 GB an Daten in Form von BUCKET- und INDEX-Dateien, die für das proprietäre Sicherungsformat von Hyper Backup charakteristisch sind.

Bucket index files, Synology Nas Hyper Backup
Dateien in .index und .bucket
Bkpi hbk files, Synology Nas Hyper Backup
Dateien in .bkpi und .hbk

Der erste Versuch mit dem offiziellen Synology Hyper Backup Explorer Dienstprogramm stieß auf eine unmissverständliche Fehlermeldung: „Die im Sicherungsziel gespeicherten Daten sind beschädigt“ (englisch: „stored data on the backup destination are corrupted“).

Synology hyper backup altered data
Die im Sicherungsziel gespeicherten Daten sind manipuliert.
Données partiellement copiées
Datei/Ordner wurde teilweise kopiert oder wiederhergestellt.

Diese Meldung bestätigte unsere ersten Vermutungen: Der Angriff hatte nicht nur die Primärdaten beeinträchtigt, sondern auch die Integrität der Datensicherungen gefährdet. In vielen Fällen stellt eine solche Situation ein unüberwindbares Hindernis mit Standardwerkzeugen dar.

Die Lösung: Entwicklung spezialisierter proprietärer Tools.

Um diese Art von Sackgasse zu umgehen, implementierte unser Ingenieurteam eine intern entwickelte Lösung: unser Synology Backup Extractor Tool. Dieses proprietäre Tool wurde speziell für Situationen entwickelt , in denen offizielle Tools aufgrund von partiellen Korruptionen von Hyper Backup-Backups versagen.

Synology Backup Extractor Recoveo
Synology Backup Extractor by Recoveo.

Die technische Analyse der Situation ergab mehrere spezifische Herausforderungen :

  1. Komprimierungaktiviert: Das Backup verwendete die Komprimierung, eine Funktion, die den Speicherplatz optimiert, aber die Wiederherstellung im Falle einer Beschädigung signifikant erschwert.
  2. Beschädigte .bucket- und .index-Dateien: Diese Dateien bilden die Architektur des Hyper Backup, und ihre Beschädigung gefährdet den Zugriff auf die zugrunde liegenden Daten.
  3. Partieller Zugriff mit Hyper Backup Explorer: Das offizielle Tool konnte etwa 75 GB von den vorhandenen 500 GB wiederherstellen, stoppte jedoch regelmäßig mit Fehlern und zeigte die Meldung „Partially copied the file/folder“ an.

Unser Ansatz bestand darin, die Adressierungszuordnungen der Dateien und Ordner zu rekonstruieren, um die korrupten Abschnitte der Metadaten zu umgehen. Diese äußerst technische Methode erforderte ein tiefes Verständnis der internen Struktur des Hyper Backup-Formats.

Ergebnisse: Erfolgreiche Wiederherstellung der Daten.

Dank unseres spezialisierten Ansatzes konnten wir besonders erfolgreiche Ergebnisse erzielen:

  • Wiederherstellung von 580 GB an Daten.
  • Wiederherstellung von 411.000 Dateien in 79.417 Ordnern.
  • Erhalt der ursprünglichen hierarchischen Ordnerstruktur.
  • Wiederherstellung der ursprünglichen Dateinamen.

Dieser Erfolg steht in starkem Kontrast zu früheren Versuchen, bei denen mit dem offiziellen Tool Hyper Backup Explorer nur 75 GB an Daten wiederhergestellt werden konnten, was etwa 15 % des gesamten vorhandenen Datenvolumens entspricht.

Für unseren Architektenkunden war dieser Unterschied entscheidend. Er konnte wieder auf alle seine Geschäftsprojekte zugreifen, einschließlich Pläne, 3D-Renderings, Vertragsdokumente und Kundenkommunikation – Daten, die für die Kontinuität seines Geschäfts entscheidend waren.

Gelernte Lektionen und Empfehlungen

Dieser Fall ist zwar extrem, beleuchtet aber mehrere wichtige Aspekte der Verwaltung von Geschäftsdaten:

1. Die Grenzen von Standardwerkzeugen.

Mainstream-Wiederherstellungstools wie PhotoRec sind zwar in bestimmten Kontexten leistungsstark, zeigen aber ihre Grenzen angesichts komplexer Situationen, die fortgeschrittene Dateisysteme wie BTRFS oder proprietäre Formate wie das von Hyper Backup beinhalten.

Ebenso verfügt der technische Support der Hersteller, auch wenn er noch so gut ist, selten über die ultra-spezialisierten Werkzeuge, die notwendig sind, um die schwersten Fälle von Datenkorruption zu behandeln.

2. Die Bedeutung von sicheren Backups

Cyberkriminelle zielen mittlerweile bewusst auf Backup-Systeme ab, da sie sich ihres strategischen Wertes bewusst sind. Daher ist es unerlässlich, Mechanismen zu implementieren, die nicht nur Ihre Hauptdaten, sondern auch Ihre Backups schützen:

  • Offline-Backups (Air Gap)
  • Nur-Lese-Backups (read-only backups)
  • Multifaktor-Authentifizierung für den Zugriff auf Sicherungssysteme.
  • Regelmäßige Überprüfungen der Integrität von Datensicherungen.

3. Die 3-2-1-Regel für Datensicherungen

Diese Situation ist ein gutes Beispiel dafür, warum die 3-2-1-Regel für Datensicherungen von entscheidender Bedeutung ist:

  • 3 Kopien Ihrer Daten
  • Auf 2 verschiedenen Arten von Datenträgern
  • Mit 1 Kopie, die außerhalb des Standorts aufbewahrt wird.

Im vorliegenden Fall verfügte unser Kunde zwar über eine externe Datensicherung, diese war jedoch mit dem Hauptsystem verbunden und daher anfällig für denselben Angriff.

4. Die Entwicklung von Spezialwerkzeugen

Dieser Fall zeigt, wie lebenswichtig die Entwicklung von Spezialwerkzeugen für die Datenwiederherstellung ist.

Unser Synology Backup Extractor ist genau aus diesem Bedürfnis heraus entstanden, über die Fähigkeiten von Standardwerkzeugen hinauszugehen, um auf außergewöhnliche Situationen reagieren zu können.

Fazit dieser Datenrettung auf einem Synology NAS.

Die Datenrettung dieses kolumbianischen Architekten ist ein anschauliches Beispiel für die komplexen Herausforderungen moderner Ransomware-Angriffe, insbesondere wenn sie gezielt auf Sicherungsmechanismen abzielen, selbst bei fortschrittlichen Sicherungssystemen, wie sie auf Synology-NAS vorhanden sind.

Angesichts einer Situation, die selbst der technische Support des Herstellers als nicht mehr zu retten ansah, konnte unser Ansatz, der technisches Fachwissen mit speziell entwickelten proprietären Tools kombinierte, über 580 GB an kritischen Geschäftsdaten retten.

Dieser Fall erinnert daran, dass im Bereich der Datenrettung selbst die aussichtslosesten Situationen dank technischer Innovation und spezialisiertem Fachwissen oftmals eine Lösung finden können. Er unterstreicht auch die operative Bedeutung einer robusten, diversifizierten und sicheren Backup-Strategie, insbesondere in einem Umfeld, in dem Cyberangriffe immer raffinierter werden.

Wenn Sie sich in einer ähnlichen Situation mit einem kompromittierten Synology NAS oder beschädigten Hyper Backup-Backups befinden, besuchen Sie bitte unsere spezielle Seite zur Datenwiederherstellung auf Synology NAS, um weitere Informationen zu unseren Dienstleistungen zu erhalten.

Für weitere Informationen oder in Notfällen nehmen Sie bitte Kontakt mit uns auf. Unser Notfallteam ist 24/7/365 erreichbar.

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert