En el ámbito de la ciberseguridad, la recuperación de datos de discos virtuales cifrados se ha convertido en una tarea crucial para los equipos de respuesta a incidentes. Este artículo presenta seis métodos eficaces y herramientas fácilmente disponibles para extraer información de máquinas virtuales bloqueadas, ofreciendo soluciones valiosas en situaciones críticas.
Importancia de la Recuperación de Datos en Incidentes Cibernéticos
La extracción de datos de discos virtuales cifrados puede ser fundamental para recuperar información valiosa de clientes, reconstruir infraestructuras virtualizadas comprometidas y enriquecer la cronología de una investigación de incidentes. Estas técnicas han demostrado ser efectivas en investigaciones relacionadas con grupos de ransomware como LockBit, Faust / Phobos, Rhysida y Akira.
Limitaciones y Recomendaciones
Es importante destacar que los resultados de estos métodos no están garantizados. La tasa de éxito varía y, aunque se ha logrado extraer datos forenses valiosos, la recuperación completa de sistemas de producción como bases de datos es menos probable. Se recomienda encarecidamente realizar estos intentos sobre copias de trabajo para evitar daños adicionales.
Métodos de Extracción de Datos
A continuación, se describen seis métodos para extraer datos de discos virtuales cifrados, con detalles sobre las herramientas necesarias y consideraciones adicionales.
1. Montar la Unidad
Antes de asumir que un disco está completamente cifrado, se debe intentar montarlo. A veces, los ciberdelincuentes solo cambian las extensiones de los archivos sin cifrarlos completamente. Si el método funciona, se puede acceder y copiar los archivos necesarios. Herramientas recomendadas incluyen 7-Zip y FTK.
2. RecuperaBit
RecuperaBit, creada por Andrea Lazzarotto, es una herramienta automatizada que reconstruye particiones NTFS encontradas en el disco cifrado. Funciona con python3 y puede proporcionar resultados en unos 20 minutos. Es ideal para recuperar estructuras de carpetas y archivos, aunque puede activar detecciones de protección de endpoints.
3. Bulk_extractor
Bulk_extractor es una herramienta gratuita para Windows y Linux que recupera archivos del sistema y multimedia. Puede configurarse para centrarse en tipos específicos de archivos, acelerando el análisis. Se recomienda usarla en un entorno sandbox para evitar detecciones de protección de endpoints.
4. EVTXtract
EVTXtract busca y recupera archivos .evtx completos o parciales en discos cifrados. Funciona exclusivamente en Linux y convierte los resultados a XML, lo que puede requerir procesamiento adicional para facilitar su análisis.
5. Scalpel y Foremost
Scalpel y Foremost son herramientas gratuitas de recuperación de archivos, especialmente útiles para recuperar documentos y archivos multimedia. Ambas permiten modificar el archivo de configuración para centrarse en tipos específicos de archivos. Se recomienda usarlas en un entorno sandbox.
6. Tallado Manual de la Partición NTFS
El tallado manual, utilizando la herramienta dd de Linux, requiere cálculos precisos y preparación. Este método implica extraer particiones NTFS intactas y crear nuevos archivos a partir de ellas. Aunque es laborioso, puede ser muy efectivo para recuperar datos valiosos.
Consideraciones Adicionales
Al elegir el método adecuado, se deben considerar factores como el tamaño del archivo, las herramientas disponibles, el tiempo, el almacenamiento y las prioridades del cliente. La necesidad empresarial de recuperar datos también juega un papel crucial en la decisión.
Conclusión
Aunque estos métodos no garantizan resultados, pueden ser cruciales en la recuperación de datos cifrados durante un incidente cibernético. La decisión de continuar o abandonar el proceso debe basarse en una evaluación cuidadosa de las necesidades y circunstancias específicas de cada caso.
Referencia: OpenSecurity y Sophos blog.
