Digital Recovery wurde beauftragt, bei einem kritischen Vorfall mit einem mittelständischen Unternehmen aus dem deutschen Automobilsektor zu unterstützen, dessen IT-Infrastruktur durch einen Ransomware-Angriff schwerwiegend beeinträchtigt wurde. Der gesamte Kontakt sowie die Begleitung des Falls erfolgten direkt mit dem für den IT-Support des Endkunden verantwortlichen Unternehmen.
Digital Recovery wurde beauftragt, bei einem kritischen Vorfall mit einem mittelständischen Unternehmen aus dem deutschen Automobilsektor zu unterstützen, dessen IT-Infrastruktur durch einen Ransomware-Angriff schwerwiegend beeinträchtigt wurde. Der gesamte Kontakt sowie die Begleitung des Falls erfolgten direkt mit dem für den IT-Support des Endkunden verantwortlichen Unternehmen.
Nach dem unbefugten Zugriff setzten die Angreifer das Ransomware LockBit 5.0 ein, eine der derzeit fortschrittlichsten und zerstörerischsten Varianten, die für ihre Fähigkeit bekannt ist, vollständig virtualisierte Umgebungen innerhalb kurzer Zeit zu verschlüsseln.
Die Auswirkungen waren vollständig. Sämtliche virtuellen Maschinen der Umgebung, einschließlich ihrer VMDK-Dateien, wurden verschlüsselt und kompromittierten damit vollständig die von dem Unternehmen genutzten kritischen Systeme.
Das vorliegende technische Szenario war äußerst sensibel und komplex. Der Angriff betraf:
- 1 Lenovo-Server, verantwortlich für die produktive Umgebung
- 1 Synology-NAS-Gerät, das als Backup verwendet wurde
- Etwa 1,3 TB an Daten aus Unternehmensdatenbanken
- Alle virtuellen Maschinen der Umgebung, wodurch das System vollständig nicht verfügbar wurde
Obwohl zwei Backups vorhanden waren, war keines davon für eine Wiederherstellung geeignet. Eines der Backups wurde ebenfalls während des Angriffs verschlüsselt, während das zweite aus einem Tape-Backup mit einer Verzögerung von etwa acht Monaten bestand, was dessen Nutzung aus operativer Sicht und im Hinblick auf die Geschäftskontinuität untragbar machte.
Das Unternehmen verfügte über keinen strukturierten Plan zur Reaktion auf Ransomware-Vorfälle, was die unmittelbaren Handlungsoptionen nach dem Angriff stark einschränkte und die Notwendigkeit eines spezialisierten Ansatzes zur Wiederherstellung durch Ransomware verschlüsselter Daten zusätzlich unterstrich.
Wiederherstellungsprozess und Vorgehensweise von Digital Recovery
Als Teil des Standardprotokolls von Digital Recovery wurde zunächst die Einsendung aller physischen Geräte zur vollständigen Analyse angefordert, einschließlich der produktiven Umgebung und der Backups. Dieser Ansatz ermöglicht es, alle möglichen Wiederherstellungspfade zu bewerten und erhöht die Erfolgschancen erheblich.
Angesichts der Unmöglichkeit, den ursprünglichen Server zu versenden, passte das Team die Strategie schnell an, um mit den kopierten Volumes zu arbeiten, und bewahrte dabei die erforderliche technische Strenge für eine durch fortgeschrittene Ransomware kompromittierte Umgebung.
Die Wiederherstellung wurde vor allem durch die Erfahrung des technischen Teams von Digital Recovery in Fällen mit LockBit 5.0 ermöglicht, kombiniert mit dem Einsatz proprietärer interner Tools, die speziell für Szenarien fortgeschrittener Verschlüsselung entwickelt wurden. Die detaillierte Analyse der Datenstrukturen und des Verhaltens der Ransomware in Bezug auf die VMDK-Dateien ermöglichte es, den sichersten und effektivsten Ansatz für die Fortsetzung der Wiederherstellung festzulegen.
Darüber hinaus arbeitete das Team im 24×7-Betrieb, beschleunigte die Analyse des Falls und reduzierte die gesamte Dauer der Daten-Nichtverfügbarkeit.
Endergebnis
Der vollständige Wiederherstellungsprozess hatte eine Dauer von 10 Kalendertagen, vom Projektstart bis zur endgültigen Freigabe der wiederhergestellten Daten. Am Ende wurden die kritischen Daten erfolgreich wiederhergestellt, sodass das Unternehmen den Betrieb wieder aufnehmen und die Geschäftskontinuität sicherstellen konnte.
Der Kunde zeigte sich äußerst zufrieden mit dem Ergebnis und hob die Bedeutung des erneuten Zugriffs auf die Daten hervor, um das Unternehmen weiterhin betreiben zu können. Ein relevanter Aspekt, der im Verlauf des Projekts beobachtet wurde, war der Wandel in der Wahrnehmung des Kunden: Beim ersten Kontakt herrschte wenig Optimismus hinsichtlich der Wiederherstellung – ein Szenario, das bei Angriffen mit fortgeschrittener Ransomware häufig vorkommt.
Mit dem Fortschreiten des Projekts waren eine klare Kommunikation, das technische Verständnis der Umgebung sowie Transparenz in den Informationen entscheidend, um das Vertrauen des Kunden und seines IT-Support-Teams zu gewinnen und ein zunächst pessimistisches Szenario in einen Erfolgsfall zu verwandeln.
Fazit
Dieser Fall verdeutlicht, dass Ransomware-Angriffe wie LockBit 5.0 nicht nur Daten verschlüsseln, sondern auch Backups kompromittieren und mehrere Parteien einbeziehen – wie Versicherungen und Strafverfolgungsbehörden – wodurch die Komplexität der Wiederherstellung erheblich steigt.
Digital Recovery agiert genau in diesen kritischen Szenarien und bietet eine professionelle Wiederherstellung verschlüsselter Daten – selbst wenn Backups versagen, die Umgebungen stark virtualisiert sind und rechtliche oder operative Einschränkungen bestehen. Technische Erfahrung, eine geeignete Methodik und eine strategische Kommunikation waren ausschlaggebend für den Erfolg dieses Projekts.
