Recupero Virtual Machine da Ransomware
Con la nostra tecnologia siamo in grado di risalire al metodo di crittografia e decrittografare le macchine virtuali bloccate. Ecco cosa possiamo fare per te :
Analizziamo il Ransomware
La nostra analisi forense permette di scomporre l'attacco ransomware a livello di codice, identificando l'algoritmo e le chiavi utilizzate. Questo ci consente di sviluppare una strategia di recupero personalizzata.
Recuperiamo la tua Macchina Virtuale
Dopo aver analizzato il ransomware, utilizziamo la nostra tecnologia proprietaria e le nostre competenze per sbloccare la macchina virtuale. Gli ambienti virtualizzati come VMware ed ESXi sono spesso nel mirino degli attacchi. Risalendo al metodo di crittografia, riusciamo ad aggirarla, a sbloccare i volumi e a ripristinare l’accessibilità alla macchina virtuale.
Ripristiniamo i tuoi Dati
I tuoi dati sono la nostra missione. Una volta disinnescato il ransomware, il nostro obiettivo è quello di recuperare tutte le informazioni personali. Utilizziamo la massima precisione per assicurarci che nulla vada perduto, lavorando instancabilmente fino all'ultimo byte!
Ti aggiorniamo in ogni fase del recupero
Con anni di esperienza nel settore della cybersecurity, abbiamo affrontato con successo molti casi di attacchi ransomware. Mettiamo la nostra esperienza e le nostre tecnologie al tuo servizio con un obiettivo comune: il recupero dei dati criptati. Inoltre, ti teniamo aggiornato in ogni fase del processo, garantendo la massima trasparenza.
Macchina Virtuale, cos’è e come funziona
Una macchina virtuale (VM) può essere definita come una rappresentazione o virtualizzazione di un computer fisico. Alla pari di un computer, per funzionare si serve di un processore, di una memoria RAM e di uno o più dischi per salvare i dati; può anche connettersi a internet e leggere altri dispositivi di memoria. Tutte queste funzioni avvengono “sfruttando” l’hardware di un computer ospitante, chiamato host. La VM in sè è solo un file immagine che rappresenta l’ambiente operativo a livello software, comportandosi come un ospite. Per questo motivo viene anche chiamata guest.
La macchina virtuale è isolata dal computer fisico, non interferisce con esso e funziona con un proprio sistema operativo, che può essere uguale o diverso da quello dell'host.
Le macchine virtuali sono classificabili in due tipi:
-
Macchine virtuali di sistema: sono un sostituto di un computer reale e hanno tutte le funzioni necessarie per eseguire diversi sistemi operativi. Utilizzano un hypervisor, cioè un manager di ambienti virtualizzati, per la gestione dell’hardware sottostante. In questo modo è possibile eseguire diversi sistemi operativi su un solo computer fisico. Siccome l’hypervisor si occupa della virtualizzazione dell’hardware, queste virtual machine sono facilmente portabili su altri hypervisor in computer differenti.
-
Macchine virtuali di processo: eseguono un software indipendentemente dal sistema operativo e dall’hardware del computer fisico. Un esempio sono gli emulatori di console, in grado di imitare e leggere una diversa architettura di sistema per consentire l’esecuzione di videogiochi sul computer. Questo tipo di macchina virtuale consente anche l’installazione di sistemi operativi progettati per altre CPU.
A livello aziendale, le macchine virtuali di sistema sono le più utilizzate. Una classica applicazione è quella dei server virtuali. I server fisici vengono partizionati dedicando le risorse a diversi server virtuali, i quali vengono assegnati agli utenti con sistemi operativi e software dedicati. Questa soluzione presenta molti vantaggi, soprattutto dal punto di vista economico. Usare un unico server per diverse macchine virtuali riduce lo spazio necessario nelle server room, così come i consumi energetici e i costi di manutenzione.
Tipi di macchine virtuali in commercio
Data la varietà di applicazioni necessarie in ambienti server, in commercio esistono diversi tipi di macchine virtuali. Ogni tipo ha caratteristiche proprie, come il tipo di virtualizzazione e la compatibilità con i sistemi operativi. La virtualizzazione può essere basata su hypervisor o su container e può essere completa, parziale o ibrida. Ciò che distingue una modalità dall’altra è il grado di interazione con l’hardware e il software sottostante, oltre alle prestazioni e alla flessibilità.
Per quanto riguarda i sistemi operativi, le macchine virtuali sono progettate generalmente per server Windows e Linux.
Le macchine virtuali più diffuse in commercio sono:
- VMware vSphere: ambiente di virtualizzazione molto popolare in ambienti server, specialmente nei data center. Utilizza l’hypervisor ESXi di primo livello, che virtualizza direttamente l’hardware del computer host. vSphere è una suite completa che offre accesso anche da client con sistemi operativi diversi tramite il vSphere Web Client. È inoltre in grado di virtualizzare un’intera infrastruttura IT composta da molti server e dispositivi di storage. Per ottimizzare la gestione dello spazio, utilizza un meccanismo simile ai file delta che contengono solo le modifiche apportate al disco virtuale rispetto allo stato iniziale.
- Microsoft Hyper-V: permette la creazione di ambienti virtuali su server e desktop Windows, ponendosi come una delle opzioni più flessibili e convenienti sul mercato. Supporta diverse funzioni come la migrazione di hypervisor in tempo reale e l’allocazione dinamica della memoria. Anch'esso utilizza i file delta per creare copie incrementali dei file, basate solo sulla differenza con quelli originali.
- KVM: macchina virtuale per sistemi Linux basata su kernel. È uno degli ambienti di virtualizzazione più comuni per provider di hosting e cloud, che utilizzano ambienti open source come Linux. KVM permette l’allocazione flessibile della CPU, si integra con il kernel del sistema operativo ed è continuamente sviluppata e aggiornata, data la natura libera del suo codice. L’ottimizzazione dello spazio di archiviazione è ottenuta con un meccanismo simile ai file delta. KVM usa il copy-on-write, creando una copia della porzione del disco da modificare. Le modifiche vengono quindi apportate alla nuova copia, mentre la versione originale rimane intatta.
- Oracle VM Virtual Box: strumento di virtualizzazione molto apprezzato dagli sviluppatori, data la capacità di funzionare su diversi sistemi operativi, come Windows, Linux, Oracle Solaris e macOS. Permette inoltre la virtualizzazione degli stessi sistemi all’interno di varie macchine virtuali. Grazie alla sua flessibilità, Virtual Box viene utilizzato per virtualizzare diversi ambienti operativi, dai singoli desktop ai complessi ambienti cloud. A livello di uso dello spazio e di sicurezza, utilizza gli snapshot con meccanismo simile ai delta disk. Lo snapshot crea un nuovo file con le differenze rispetto allo stato precedente della macchina virtuale. Per ogni modifica, le nuove informazioni vengono scritte in un nuovo file che punta allo snapshot precedente e così via.
I ransomware che attaccano le macchine virtuali puntano a dei file specifici. Il primo tipo di file è quello del disco virtuale, che rappresenta di fatto il disco rigido. Cambiando l’estensione del file e criptando il contenuto, la macchina virtuale non è più accessibile. Gli altri target del ransomware sono i file di paging, i file di swap, gli snapshots e i delta files. La crittografia di snapshots e delta files è quella più pericolosa, poichè impedisce il ripristino della macchina ad uno stato precedente l’attacco.
Data la grande dimensione di questi file, che possono rappresentare l’intero storage virtuale, i ransomware usano spesso una crittografia ibrida. Combinare una crittografica simmetrica con una asimettrica permette una rapidità d’azione seguita della complessità di decrittografia basata su chiave pubblica e privata. Questa strategia consente al ransomware di battere sul tempo i sistemi di sicurezza e agire prima di essere bloccato.
Perchè i Ransomware attaccano le macchine virtuali
Anzichè colpire i computer o i singoli dispositivi di storage, negli ultimi anni i ransomware hanno concentrato i loro attacchi sulle macchine virtuali. In particolare, data la loro popolarità, i server ESXi di VMware sono stati i bersagli preferiti.
I server di virtualizzazione sono una soluzione IT molto utilizzata da distribuzioni su larga scala, sia per servizi di calcolo che di storage. Con un singolo attacco, il ransomware è in grado di provocare un effetto catastrofico. Basta entrare in un solo server e bloccare diverse macchine virtuali, incluso lo storage condiviso.
Meccanismo di attacco
Il primo stadio dell'attacco è il furto di credenziali per accedere al server. Il ransomware si serve di strategie tipiche, come le mail di phishing e gli attacchi brute force.
Una volta ottenute le credenziali, il ransomware mappa la rete per trovare i vari hypervisor. In seguito, esegue uno script per identificare il sistema operativo e raccogliere informazioni preziose.
Identificato l'hypervisor bersaglio, il passo finale consiste nell'ottenere una shell remota per inviare un comando di esecuzione, ossia lo script di crittografia. A questo punto un messaggio viene mostrato agli utenti che tentano di accedere al contenuto della macchina virtuale: non è possibile accedere ai file fino al pagamento del riscatto.
Lo script punta solo ad alcuni file importanti. Prendendo ad esempio le macchine virtuali in ambiente ESXi, i file criptati generalmente sono:
- .vmx: contengono le informazioni di configurazione tra software e hardware, ad esempio sull’uso della RAM.
- .vmdk: rappresentano il disco rigido virtuale e contengono tutti i dati della macchina virtuale.
- .flat sono i file grezzi di ogni disco virtuale.
Questi file lavorano in sinergia. Ad esempio, un .vdmk salva i dati su un file .flat. Ma se il . vdmk è criptato, la sincronizzazione non è possibile.
Inoltre, questi ransomware non permettono all'utente di spegnere la macchina virtuale. Continuando a scrivere, i file crittografati alterano la comunicazione tra guest e host, generando dati virtuali incompleti o illeggibili. Anche dopo aver decrittografato il sistema, i dati personali potrebbero rimanere corrotti.
Questo scenario complica il recupero. Spesso non c’è abbastanza materiale integro e bisogna capire cosa utilizzare per ricostruire la macchina virtuale nella sua completezza.
Una soluzione immediata contro il Ransomware
Siamo consapevoli dell’urgenza di ripristinare la tua operatività il prima possibile. DataLab offre un servizio immediato per ridurre i tempi di inattività e restituire un ambiente virtuale perfettamente funzionante.
La nostra esperienza in analisi forense e crittografia è il punto forte del nostro servizio. Sappiamo arrivare al cuore del problema e risaliamo agli algoritmi di crittografia più avanzati, usati da organizzazioni e da servizi governativi a livello mondiale. Questo ci permette di decrittografare i file che bloccano la macchina virtuale e ripristinare il sistema in tempi rapidi, senza dover ricorrere a lunghe procedure di recupero.
Processo di Recupero Virtual Machine
Ogni caso viene studiato nella sua particolarità. I ransomware sono minacce in continua evoluzione, cambiano e si introducono nei sistemi con strumenti sempre più sofisticati. Il nostro team è regolarmente aggiornato sugli ultimi ceppi e ha un approccio organico al recupero. Dividiamo il processo in tre fasi: analisi, recupero e ripristino.
Analizziamo il nemico per riconoscere le caratteristiche, così come la macchina virtuale crittografata. Raccogliamo informazioni e indizi, collaboriamo con il cliente e studiamo una soluzione su misura.
Recuperiamo i file di configurazione e montaggio dei dischi virtuali. Grazie a strumenti di decodifica proprietari, possiamo riportarli alla loro originalità.
Ripristiniamo l’ambiente virtuale, assicurandoci che il sistema operativo e i dati siano integri. Il processo si conclude solo quando riteniamo che la minaccia è stata debellata e la macchina virtuale è sicura e funzionante.
Offriamo soluzioni complete per aziende, organizzazioni, assicurazioni e professionisti di vario genere.
Contattaci e ti forniremo aiuto immediatamente. Riavrai i tuoi dati e la tua serenità il prima possibile.
Servizi Offerti
Servizio di recupero macchine virtuali 24h su 24h
Attacco ransomware in corso? Non farti prendere dal panico. Il nostro team di esperti interviene immediatamente per bloccare l'infezione e ripristinare la tua macchina virtuale.
Recupero macchine virtuali e dati personali
I tuoi dati non sono perduti. I nostri esperti in ransomware utilizzano le tecnologie più avanzate per sbloccare la tua macchina virtuale e riportarla in vita. Grazie alla nostra comprovata esperienza e alla nostre conoscenze, riusciamo a gestire anche i casi più complessi.
Consulenza su attacchi ransomware
Mettiamo alla prova la tua sicurezza informatica. Il nostro servizio offre una valutazione dettagliata per individuare le vulnerabilità che potrebbero esporti al rischio di attacchi ransomware. Possiamo anche sviluppare una strategia di difesa personalizzata.
Strategie di disaster recovery
Strategie chiare e semplici per un recupero efficace. Ti offriamo un piano d'azione chiaro e concreto per superare l'emergenza e riportare la tua attività alla normalità.
Protezione dei dati
Non lasciare che i tuoi dati cadano nelle mani sbagliate. Elimina le tracce dell'attacco e recupera il controllo dei dati sensibili con i nostri servizi di rimozione.
Cosa fare in caso di attacco ransomware su virtual machine
Un attacco ransomware può essere un'esperienza traumatica, ma agire rapidamente e con calma può limitare i danni. Inizia con questi step:
- Isola il dispositivo
- Scollega il dispositivo dalla rete: isola il NAS o il server dove risiede la virtual machine per evitare che il ransomware si diffondi in altri sistemi.
- Disabilita Wi-Fi e Bluetooth: interrompi tutte le connessioni wireless.
- Mantieni il dispositivo acceso: spegnere o riavviare il dispositivo potrebbe compromettere le prove digitali.
- Contatta DataLab per un'assistenza immediata
- Raccogli documenti
- Screenshot: cattura immagini del sistema, messaggi di riscatto e anomalie dei file.
- Note: annota data e ora degli eventi, azioni intraprese e dettagli tecnici.
- Non pagare il riscatto
- Non c'è alcuna garanzia: pagare non assicura sempre il recupero dei dati.
- Evita di finanziare i criminali: pagare incoraggia gli attacchi futuri.
Consigli aggiuntivi:
- Mantieni la calma, il panico non aiuta.
- Non condividere informazioni personali per evitare di fornire dettagli sensibili ai criminali.
- Segnala l'incidente alle autorità competenti.
- Rivedi le tue procedure di sicurezza: un attacco ransomware è un'opportunità per migliorare la tua protezione informatica.
Contatta DataLab
Affidati ai nostri esperti in ransomware e machine virtuali. DataLab ti offre anni di esperienza nella lotta contro le minacce informatiche. Con una consulenza gratuita, un'analisi rapida e tecnologie di recupero all’avanguardia, ti aiutiamo a riprendere il controllo della situazione.
Chiamaci allo 0521 241567 oppure compila il nostro modulo di contatto.
Ecco quello che faremo:
- Step 1: Consulenza preliminare
- Step 2: Esame del tuo caso
- Step 3: Elaborazione di una strategia di recupero personalizzata
Vuoi sapere di più sui ransomware? Leggi i nostri articoli!
Ransomware: cos'è e come recuperare i dati
Attacco ransomware su NAS: recupero di volumi, dati e macchine virtuali