Go to Top

Mito: Los archivos VMDK de VMware borrados no se pueden recuperar

El mito: los datos virtuales eliminados de discos virtuales VMware® no son recuperables. En esta ocasión me gustaría hablar de un caso en que Kroll Ontrack rompió el mito de par en par.

El cliente

Un cliente de VMware contactó con el soporte VMware después de un incidente en sus premisas. Debido a la gravedad de los daños y a la incertidumbre de qué había sucedido exactamente, el soporte VMware solicitó el consentimiento del cliente para que Kroll Ontrack le ayudase a evaluar la situación de pérdida de datos e intentar recuperar alguno de los volúmenes críticos. En muchas ocasiones anteriores Kroll Ontrack había tenido éxito ayudando a los clientes de VMware a recuperar sus datos perdidos.

En este caso, el cliente se trataba de un negocio de importación de bebidas con sede en Londres, cuya facturación era de aproximadamente 11.8 millones de euros por año.

La situación

El empleado a cargo de los sistemas de TI solicitó un aumento de sueldo. Cuando se rechazó su solicitud, éste dejó la compañía. Después de su salida, la empresa detectó que había sido hackeada y toda su infraestructura virtual había sido destruida: no podían acceder a ninguno de sus sistemas. Las sospechas inmediatamente se colocaron en el cruel ex-empleado.

El sistema

La compañía realizó una SAN con dos 270GB VMFS (sistema de archivos de la máquina virtual) LUN (Logical Unit Number) y un 4 TB NTFS LUN:

  • Los dos volúmenes VMFS contenían máquinas virtuales que se ejecutan en todos los sistemas de negocio, es decir, el servidor de correo electrónico, SQL Server, servidor de archivos, etc
  • El volumen NTFS contenía copias de seguridad Veeam de todas las máquinas virtuales a partir de los volúmenes VMFS.

Pérdida de datos

Todos los sistemas que se ejecutaban en el entorno de VMware se perdieron. Esto incluía servidores de correo, servidores de SQL donde se ejecutaban los sistemas empresariales y servidores de alojamiento de archivos de los documentos de todos los empleados.

Todas las copias de seguridad de los sistemas mencionados anteriormente que se almacenaban en la partición NTFS, también se perdieron.

Intentos de recuperación por parte del cliente

El cliente intentó recuperar los sistemas en línea a través de diversos métodos. Más tarde se descubrió que, en sus intentos de recuperar el volumen NTFS que contenían los archivos de copia de seguridad, habían formateado el disco causando daños adicionales.

El cliente contactó con Kroll Ontrack Legal Technologies (servicios de TI forense) para ayudar a investigar la violación, pero manifestó que su principal prioridad era conseguir que su negocio volviera a funcionar.

El equipo forense llamó al equipo de recuperación de datos Kroll Ontrack con el fin de coordinar la recopilación de datos de una manera que permitiese la recuperación de los sistemas sin poner en peligro la validez de los datos en las investigaciones forenses a realizarse posteriormente.

La solución – el trabajo realizado por Kroll Ontrack

El primer paso en esta recuperación fue la creación de una copia de la base de datos siguiendo las directrices de conservación probatorias forenses informáticas. Kroll Ontrack envió un ingeniero al sitio con el equipo necesario para clonar los sistemas.

Una vez que la copia de los datos se completó, ésta fue traída de vuelta al laboratorio para iniciar el trabajo de recuperación de datos.

El análisis se llevó a cabo en el volumen de copia de seguridad NTFS Veeam primero ya que, en teoría, este volumen tendría todos los datos requeridos en los archivos de copia de seguridad. Sin embargo, la investigación llevada a cabo por los ingenieros de recuperación de datos determinó que este volumen había sufrido un daño mayor pues al intentar ponerlo en conexión se realizó un formateo. Este formateo puso nuevas estructuras en el LUN sobrescribiendo registros de archivos críticos necesarios para las copias de seguridad de base de datos de Veeam.

Después de este descubrimiento, el trabajo en los dos LUN VMFS empezó de inmediato. La recuperación de máquinas virtuales borradas en volúmenes VMFS fue uno de los escenarios de recuperación más complejos que los ingenieros de Kroll Ontrack han tenido que tratar. La adición de las instantáneas y el thin provisioning complicó aún más las cosas. Sin embargo, como Kroll Ontrack realizó su primera recuperación en una máquina virtual borrada hace ya varios años, las técnicas y herramientas propias de software de recuperación han sido desarrolladas de manera significativa.

El Resultado

Tras 48 horas, los ingenieros de Kroll Ontrack lograron recuperar todos los VMDK críticos eliminados (discos de máquinas virtuales). Éstos fueron proporcionados al cliente que luego los importó a un nuevo entorno y pudieron funcionar inmediatamente.

La lección

El daño malicioso es uno de los escenarios de recuperación más difíciles de tratar y aunque el riesgo de que ocurra es muy bajo, el catastrófico daño que se puede causar no debe ser pasado por alto.

, , , , , , ,

Deja un comentario