Go to Top

Gran hospital sufre ataque de ransomware que lo deja inoperativo

El ransomware está convirtiéndose rápidamente en uno de los temas más populares de la industria tecnológica actual. Esto se debe al dramático incremento en este año de los ataques de virus informáticos de extorsión, dirigidos por parte de los cibercriminales tanto a usuarios privados como a compañías u organizaciones gubernamentales. Según el proveedor de seguridad de Internet Kaspersky, el total de víctimas de ataques de ransomware aumentó casi un 18 % entre abril de 2015 y marzo de 2016. También vale la pena señalar que los virus de ransomware que utilizan técnicas de encriptado han aumentado en un 25 %, por lo que no es de extrañar que algunos expertos se estén refiriendo ya al 2016 como “el año del ransomware”.

Que alguien llame a un doctor de datos

En este post analizaremos el caso específico de un gran hospital alemán que sufrió un ataque de ransomware. El virus Locky implicado tuvo efectos devastadores y dejó a muchos servidores fuera de servicio. Además, las principales operaciones hospitalarias se vieron seriamente limitadas, puesto que el personal de TI decidió desconectar los servidores no infectados para evitar una mayor infección. Esto supone un grave problema para los sistemas de almacenamiento virtualizados altamente complejos, ya que una desconexión puede provocar problemas inesperados.

Esto fue lo que desgraciadamente ocurrió con la matriz de almacenamiento Dell EqualLogic PS6500ES utilizada por el hospital, que contenía un total de 148 discos duros profesionales de 100 GB de espacio cada uno. Cuando la matriz se inició de nuevo, los empleados descubrieron que el sistema ya no mostraba un LUN con dos importantes bases de datos Oracle, es decir que este LUN ya no estaba disponible. Tras comprobar que ni el personal de TI del hospital ni el equipo de soporte de Dell eran capaces de solucionar este espinoso problema, los especialistas de Kroll Ontrack fueron llamados a la acción.

Cómo abordar las corrupciones

Analicemos en primer lugar el contexto de la situación: un sistema Dell EqualLogic PS6500ES incluye varios discos duros, normalmente 16 o 48 bahías HDD, que están conectados a sistemas RAID 5 o RAID 50  (submatrices). El sistema crea y fragmenta (es decir, distribuye) LUN en todas las submatrices. El análisis del sistema reveló que, de las 7 bahías con 148 discos duros en total, 3  bahías compuestas de 80 discos duros contenían el LUN necesario y las bases de datos Oracle desaparecidas. Sin embargo, muchos de los mapeos de los fragmentos de datos distribuidos por todos los discos estaban corruptos o ya no estaban disponibles, de modo que asignar los fragmentos era muy difícil. Los mapeos con sistemas EqualLogic PS están además codificados con una lógica especial, por lo que no es fácil localizar los enlaces.

Para encontrar los enlaces de mapeo, Kroll Ontrack convocó a especialistas de EE.UU. para que participaran en el proyecto y desarrolló también nuevas herramientas de software que solucionarían, en última instancia, los problemas de enlaces y de corrupción tanto en el direccionamiento RAID como en el LUN. Con la ayuda de las nuevas herramientas, los expertos en ingeniería de recuperación de datos pudieron reconstruir correctamente por fin los sistemas RAID 5 y RAID 50, así como mostrar el LUN. En este LUN se encontraba un HDD virtual (un archivo VDMK) que contenía a su vez dos bases de datos Oracle en su sistema de archivos NTFS. Debían identificarse y restaurarse, por tanto, dos capas de archivos adicionales en el LUN antes de poder exportarse las bases de datos.

De nuevo en funcionamiento

Al final, los ingenieros pudieron extraer y restaurar correctamente la base de datos Oracle antes de que el mensajero realizase la entrega al cliente. El personal de TI pudo finalmente “alimentar” al sistema Dell con los datos proporcionados por Kroll Ontrack y devolverlo a su estado original, de modo que los principales sistemas hospitalarios pudieron reactivarse.

Este proyecto de recuperación de datos es un claro ejemplo de que, en casos de ataques de ransomware, es imprescindible saber exactamente cómo reaccionar. Por este motivo es aconsejable que adaptes tus planes de continuidad empresarial y de recuperación de desastres al servidor y a la infraestructura de almacenamiento respectivos, para estar bien preparado si sufres uno de estos ataques. Si bien la pronta desactivación de los sistemas puede detener la difusión de un virus, también puede tener severas consecuencias y debería sopesarse cuidadosamente primero (sin la colaboración, en este caso, de los ingenieros de recuperación de datos de Kroll Ontrack, las bases de datos podrían haberse perdido por completo). Si el sistema ya ha sido infectado, es siempre una sabia decisión ponerse en contacto con una compañía especialista en recuperación de datos como Kroll Ontrack para solicitar asesoramiento profesional.

¿Te has visto afectado alguna vez por un ataque de ransomware? Cuéntanos lo ocurrido en la sección de comentarios a continuación o envíanos un tuit a @KrollOntrackES

Copyright de la imagen: by-sassi  / pixelio.de

, , , , , , , , , , ,

Deja un comentario