Ein italienisches Unternehmen, das auf Beratung im Bereich Arbeitssicherheit sowie auf Programme für verpflichtende Schulungen und Zertifizierungen spezialisiert ist, wandte sich nach einem schweren Akira-Ransomware-Angriff an Digital Recovery. Der Vorfall wurde an einem Montagmorgen festgestellt, als das Team ins Büro zurückkehrte und die gesamte kritische Umgebung unzugänglich vorfand.
Die VMware-Umgebung war vollständig nicht verfügbar, die auf dem NAS gespeicherten Ordner waren verschlüsselt, und alle Systeme, die für Schulungen, Zertifizierungen und Kundendokumentation verantwortlich waren, waren außer Betrieb. In der Praxis war der Betrieb des Unternehmens vollständig lahmgelegt.
Der erste Kontakt erfolgte durch den IT-Administrator, der große Besorgnis zeigte. Er hatte das gesamte Wochenende damit verbracht, die Ursache und das Ausmaß des Angriffs zu verstehen, bestätigte jedoch bei seiner Rückkehr ins Büro das schlimmstmögliche Szenario: Alle kritischen Systeme waren verschlüsselt.
Laut dem technischen Verantwortlichen war das Unternehmen direkt auf diese Daten angewiesen, um die rechtliche Konformität seiner Kunden sicherzustellen. Der Verlust von Schulungs- und Zertifizierungsunterlagen hätte die Fortführung des Betriebs unmöglich gemacht und zudem unmittelbare vertragliche und rechtliche Risiken verursacht.
Die Dringlichkeit des Falls war bereits beim ersten Kontakt offensichtlich.
Technische Erstbewertung
Während der initialen technischen Analyse stellte das Team von Digital Recovery fest, dass die Umgebung aus einer virtualisierten VMware-Infrastruktur bestand, mehreren durch das Akira-Ransomware verschlüsselten VMDK-Dateien sowie einem NAS, das sowohl für die Datenspeicherung als auch für Backups genutzt wurde.
Akira ist eine Ransomware, die dafür bekannt ist, aggressive Strategien einzusetzen, darunter die gezielte Manipulation und Beschädigung von Backup-Strukturen, mit dem Ziel, Wiederherstellungsalternativen zu eliminieren und die Zahlung des Lösegelds zu erzwingen. Dieses Verhalten erhöhte die Komplexität des Szenarios erheblich und verstärkte die Sorge des Unternehmens, seine Daten nicht mit herkömmlichen Methoden wiederherstellen zu können.
Nach der detaillierten Analyse durch die Ingenieure von Digital Recovery konnten zwei kritische Faktoren identifiziert werden, die die Wiederherstellung ermöglichten. Die auf dem NAS vorhandenen Snapshots enthielten technisch wiederherstellbare Daten, und die wesentlichen Header der VMDK-Dateien waren während des Verschlüsselungsprozesses nicht zerstört worden.
Auf Grundlage dieser Erkenntnisse wurde eine mehrschichtige Wiederherstellungsstrategie definiert. Der Prozess umfasste die strukturelle Rekonstruktion der VMDK-Dateien, wodurch die logische Integrität der virtuellen Festplatten wiederhergestellt werden konnte. Parallel dazu wurden die NAS-Snapshots direkt extrahiert und dabei die durch den Angriff kompromittierten herkömmlichen Mechanismen umgangen.
Anschließend wurden alle Server einzeln wiederhergestellt, mit einer vollständigen Validierung der Betriebssysteme, Anwendungen und Dienste. Abschließend wurden die Schulungs- und Zertifizierungsplattformen sowie die gesamte Kundendokumentation wiederhergestellt und getestet, um Konsistenz, Integrität und operative Zuverlässigkeit sicherzustellen.
Die gesamte Arbeit wurde mit strenger technischer und forensischer Kontrolle durchgeführt, wodurch Rückverfolgbarkeit, Sicherheit und die Erhaltung der wiederhergestellten Daten gewährleistet wurden.
Endergebnis
Das Projekt wurde mit der vollständigen Wiederherstellung der Umgebung abgeschlossen. Alle Server und Dokumente sowie die von dem Unternehmen genutzten Schulungs- und Zertifizierungsplattformen wurden erfolgreich wiederhergestellt. Es war keine Zahlung eines Lösegelds erforderlich, und es kam zu keinerlei Unterbrechungen im Zusammenhang mit regulatorischen oder vertraglichen Compliance-Anforderungen.
Das italienische Unternehmen konnte seinen Betrieb vollständig wieder aufnehmen und dabei die operative Kontinuität, das Vertrauen seiner Kunden sowie seine Reputation am Markt bewahren.
Dieser Fall zeigt, dass selbst bei einer hochgradig destruktiven Ransomware wie Akira ein spezialisierter technischer Ansatz in Verbindung mit fortschrittlicher Datenwiederherstellungs-Engineering irreversible Verluste verhindern und die Notwendigkeit von Verhandlungen mit Kriminellen vollständig eliminieren kann.
Digital Recovery stärkt mit diesem Projekt ihre Position als auf die Wiederherstellung von durch Ransomware verschlüsselten virtualisierten Umgebungen spezialisiertes Unternehmen, das technisch, strategisch und unabhängig agiert und dabei stets den Fokus auf die vollständige Wiederherstellung der Daten sowie die Wahrung der operativen Integrität der betroffenen Unternehmen legt.
