Ein großes Schweizer Unternehmen aus dem Logistiksektor erlebte das schlimmste Szenario, das sein IT-Team sich vorstellen konnte. Durch die Ausnutzung einer ungepatchten Sicherheitslücke drangen Angreifer ins Netzwerk ein und installierten die Ransomware Akira. Dabei benannten sie alle kritischen Dateien mit der Endung .akira um und machten die VMware-Umgebung, die für zentrale Routing- und Lastmanagementoperationen zuständig war, unzugänglich. Innerhalb weniger Minuten wurden zudem zwei Synology-NAS-Geräte, die tägliche Snapshots und Backups enthielten, kompromittiert, wodurch der herkömmliche Wiederherstellungsweg unmöglich wurde. Ohne einen formellen Incident-Response-Plan und mit vollständig stillgelegtem Betrieb spürte das technische Team den Druck der Verantwortung deutlich, während die Geschäftsleitung, emotional schwer getroffen, nach einer Lösung suchte, die keine Verhandlungen mit Kriminellen vorsah.
Genau zu diesem Zeitpunkt wurde Digital Recovery hinzugezogen. Bereits beim ersten Kontakt stellten unsere Ingenieure eine direkte telefonische Verbindung mit dem CIO her und eröffneten einen sicheren E-Mail-Kanal zum Austausch sensibler Informationen. Die anfängliche Diagnose bestätigte das Ausmaß des Schadens: alle VMware-Volumes verschlüsselt und die NAS-Partitionen gesperrt. Die Dringlichkeit war offensichtlich – jede Stunde Stillstand führte zu logistischen Verzögerungen in verschiedenen europäischen Hubs. Ohne Zugriff auf kompromittierte Backups entwickelten wir umgehend einen Wiederherstellungsplan.
Die Strategie begann mit der physischen Isolierung der NAS-Geräte, um jegliches Überschreiben zu verhindern, sowie mit der Erstellung sektorweiser forensischer Abbilder im UFS-Format, um die Integrität der Blöcke sicherzustellen. Im Labor verwendeten wir proprietäre Technologien, die es ermöglichten, Btrfs-Volumes direkt aus diesen Abbildern zu mounten, Metadaten zu rekonstruieren und die für die virtuelle Umgebung essenziellen VMDK-Dateien wiederherzustellen. Während des gesamten Prozesses hielten wir den Kunden durch tägliche Berichte und regelmäßige Follow-up-Calls stets auf dem Laufenden, um Transparenz zu gewährleisten und die Sorgen der Geschäftsleitung zu reduzieren.
Am dritten Arbeitstag entdeckte unser Team ein bislang undokumentiertes Backup-Repository in einem zweiten Datacenter, das auf wundersame Weise unversehrt geblieben war. Diese Entdeckung ermöglichte es, die Wiederherstellung eines Teils der virtuellen Maschinen erheblich zu beschleunigen: Lediglich eine VM musste zur Sicherstellung der Konsistenz der wiederhergestellten Systeme deaktiviert bleiben. Am fünften Tag nach Beginn des Einsatzes übergaben wir alle validierten Daten zusammen mit Prüfsummen an den Kunden für eine unabhängige Auditierung. Der logistische Betrieb konnte ohne Zahlung eines Lösegeldes wiederaufgenommen werden, und das interne Team berichtete von unmittelbarer Erleichterung, als die Terminals wieder normalisierte Versandwarteschlangen anzeigten.
Diese Erfahrung unterstreicht zwei wesentliche Lektionen: die Bedeutung segmentierter Backups — einschließlich Offline-Kopien — und die Notwendigkeit, regelmäßig getestete Notfallpläne zur Incident Response bereitzuhalten. Für Digital Recovery hat der Fall erneut bewiesen, dass selbst bei anspruchsvoller Ransomware wie Akira die Kombination aus fortschrittlichen forensischen Techniken, transparenter Kundenkommunikation und absolutem Fokus auf die Wiederherstellung von durch Ransomware betroffenen Daten kritische Betriebsabläufe in Rekordzeit wiederherstellen kann.
