Ein Unternehmen aus dem Bereich der Möbelherstellung, mit Sitz in Rumänien, nahm Kontakt mit Digital Recovery auf, nachdem es infolge eines Angriffs durch Ransomware Lynx zu einem vollständigen Produktionsstillstand gekommen war. Der Vorfall ereignete sich an einem Wochenende und beeinträchtigte unmittelbar die gesamte operative Umgebung des Unternehmens.
Alle zentralen Systeme waren nicht mehr verfügbar, die Produktionslinien wurden unterbrochen und die gemeinsam genutzten Verzeichnisse begannen, die Erweiterung “.lynx” anzuzeigen, was ein Szenario einer umfassenden Verschlüsselung bestätigte.
Die Ransomware drang in die virtualisierte Hyper-V-Umgebung ein, verschlüsselte rasch zahlreiche virtuelle VHDX-Datenträger und kompromittierte kritische Systeme, die verantwortlich waren für:
- Produktionsplanung
- Lagersynchronisation
- Logistik
- Industrielle Steuerungen
Als direkte Folge erhielten die Anlagen der Produktionslinie keine aktualisierten Anweisungen mehr von den Servern, was zu einer vollständigen Unterbrechung des Betriebs führte.
Erster Kontakt
Erster Kontakt
Der IT-Leiter, sichtbar erschöpft und unter extremem Druck, fasste die Situation wie folgt zusammen:
„Alles ist ausgefallen. Wir verlieren jede Minute Geld und wissen nicht einmal, ob unsere Backups überlebt haben.“
In diesem Moment gab es keinerlei Garantie für die Datenwiederherstellung und keine Klarheit über das tatsächliche Ausmaß der Schäden.
Die erste Analyse, durchgeführt von den Ingenieuren von Digital Recovery, identifizierte die folgende Infrastruktur:
- Hosts Hyper-V
- Dutzende verschlüsselte virtuelle VHDX-Datenträger
- Dutzende verschlüsselte virtuelle VHDX-Datenträger
- Mehrere kritische virtuelle Maschinen, darunter:
- ERP
- Dateiserver
- Logistiksysteme
- Industrielle Steuerungsserver
Obwohl die Ransomware das Backup-Netzwerk erreicht hatte, zeigte die technische Analyse, dass das Szenario weiterhin wiederherstellbar war.
Wiederherstellungsprozess
Selbst bei teilweise beschädigten Metadaten und Katalogen von Veeam stellten die Ingenieure von Digital Recovery fest, dass die Backup-Blöcke intakt blieben.
Mit dem Einsatz von proprietären Technologien war es möglich:
- Beschädigte Metadaten der VHDX-Festplatten wiederherstellen
- Gültige Wiederherstellungspunkte von Veeam identifizieren und extrahieren, selbst ohne Zugriff auf die Kataloge
- ERP-Systeme, Dateiserver und mit der Produktion verbundene virtuelle Maschinen wiederherstellen
- Jedes wiederhergestellte System mittels unseres Integrity Map-Prozesses validieren, um Konsistenz und betriebliche Zuverlässigkeit sicherzustellen
Der gesamte Prozess wurde ohne jegliche Interaktion mit den Angreifern und ohne Zahlung eines Lösegelds durchgeführt.
Ergebnis
- 100 % der virtuellen Maschinen wiederhergestellt
- Keine Datenverluste
- Keine Lösegeldzahlung
- Produktion vollständig wiederhergestellt
- Betriebliche Kontinuität gewährleistet
In kürzester betrieblicher Zeit nahm der rumänische Möbelhersteller seine normalen Aktivitäten wieder auf, wobei alle Systeme wiederhergestellt, validiert und exakt wie vor dem Angriff in Betrieb waren.
