En la esfera de la ciberseguridad, la recuperación de datos de discos virtuales cifrados se ha erigido como una tarea fundamental para los equipos de respuesta a incidentes. Este artículo detalla seis métodos efectivos y herramientas accesibles para la extracción de información de máquinas virtuales bloqueadas, proporcionando soluciones valiosas en situaciones críticas.
La extracción de datos de discos virtuales cifrados puede ser esencial para obtener información valiosa de clientes, reconstruir infraestructuras virtualizadas comprometidas y enriquecer la cronología de una investigación de incidentes. Estas técnicas han probado ser útiles en indagaciones relacionadas con grupos de ransomware como LockBit, Faust / Phobos, Rhysida y Akira.
No obstante, es importante subrayar que los resultados no están garantizados. La tasa de éxito varía y, aunque se ha logrado extraer datos forenses importantes, la recuperación completa de sistemas de producción, como bases de datos, es menos probable. Se recomienda encarecidamente realizar estos intentos sobre copias de trabajo para evitar daños adicionales.
A continuación, se describen seis métodos para extraer datos de discos virtuales cifrados, con detalles sobre las herramientas necesarias y consideraciones adicionales.
Montar la Unidad: Antes de asumir que un disco está completamente cifrado, se debe intentar montarlo. En ocasiones, los ciberdelincuentes solo cambian las extensiones de los archivos sin cifrarlos del todo. Si este método funciona, se puede acceder y copiar los archivos necesarios. Herramientas recomendadas incluyen 7-Zip y FTK.
RecuperaBit: Esta herramienta automatizada, creada por Andrea Lazzarotto, reconstruye particiones NTFS encontradas en el disco cifrado. Funciona con python3 y puede proporcionar resultados en unos 20 minutos. Es ideal para recuperar estructuras de carpetas y archivos, aunque puede activar detecciones de protección de endpoints.
Bulk_extractor: Herramienta gratuita para Windows y Linux que recupera archivos del sistema y multimedia. Puede configurarse para centrarse en tipos específicos de archivos, acelerando el análisis. Se recomienda usarla en un entorno sandbox para evitar detecciones de protección de endpoints.
EVTXtract: Busca y recupera archivos .evtx completos o parciales en discos cifrados. Funciona exclusivamente en Linux y convierte los resultados a XML, lo que puede requerir procesamiento adicional para facilitar su análisis.
Scalpel y Foremost: Estas herramientas gratuitas de recuperación de archivos son especialmente útiles para recuperar documentos y archivos multimedia. Ambas permiten modificar el archivo de configuración para centrarse en tipos específicos de archivos. Se recomienda usarlas en un entorno sandbox.
- Tallado Manual de la Partición NTFS: Utilizando la herramienta dd de Linux, este método requiere cálculos precisos y preparación. Implica extraer particiones NTFS intactas y crear nuevos archivos a partir de ellas. Aunque es un proceso laborioso, puede ser muy efectivo para recuperar datos valiosos.
Al elegir el método adecuado, se deben considerar factores como el tamaño del archivo, las herramientas disponibles, el tiempo, el almacenamiento y las prioridades del cliente. La necesidad empresarial de recuperar datos también juega un papel crucial en la decisión.
Aunque estos métodos no garantizan resultados, pueden ser vitales durante la recuperación de datos cifrados en un incidente cibernético. La decisión de continuar o abandonar el proceso debe basarse en una evaluación cuidadosa de las necesidades y circunstancias específicas de cada caso.
