El cliente, una empresa de tamaño medio en el sector de petróleo y gas de Estados Unidos, con una facturación anual significativa, fue víctima de un ataque de ransomware que comprometió datos críticos para su operación. La empresa opera en un mercado altamente estratégico y competitivo, moviendo grandes volúmenes de información sensible y estratégica a diario, incluyendo bases de datos de SQL Server y repositorios de PDFs.
El ataque de ransomware afectó directamente cerca de 2TB de los datos más importantes, incluyendo bases de datos SQL Server esenciales para operaciones diarias y un extenso repositorio de PDFs que contenía contratos, informes financieros y documentos legales.
La empresa no tenía un plan previo de Incident Response, lo que dificultó aún más la situación en el momento de la crisis. La infraestructura comprometida estaba compuesta por aproximadamente 10 máquinas virtuales (VHDXs), todas infectadas e inaccesibles.
El ataque explotó vulnerabilidades críticas y culminó en la criptografía total de datos vitales. Las investigaciones indicaron que el ataque fue llevado a cabo por el grupo ransomware Ransomhub, conocido por sus ataques sofisticados y dirigidos: el grupo utilizó técnicas avanzadas para cifrar bases de datos SQL Server y documentos PDF críticos, dificultando aún más la recuperación sin un plan predefinido.
Debido al ataque, la empresa quedó completamente paralizada, lo que generó graves impactos financieros, operativos y estratégicos. El período de parálisis comprometió la continuidad operativa del departamento administrativo y productivo de la empresa, resultando en pérdidas financieras significativas y generando un clima de inseguridad interna.
Además del impacto financiero inmediato, la empresa enfrentaba una gran tensión emocional. El equipo responsable de la gestión de TI estaba bajo una gran presión para restaurar rápidamente los sistemas, mientras intentaba entender la extensión total de los daños causados.
Digital Recovery fue contactada para responder rápidamente al incidente, ofreciendo un enfoque técnico preciso y dirigido a la recuperación de los datos críticos directamente desde los VHDXs originales afectados por el ransomware.
La recuperación se realizó con éxito mediante metodologías especializadas. Específicamente, Digital Recovery realizó una recuperación detallada dentro de los archivos VHDX originales afectados, restaurando completamente las máquinas virtuales esenciales para la reanudación de las operaciones de la empresa.
Para la recuperación de los PDFs, el equipo técnico aplicó una recuperación adicional en modo RAW, lo que permitió encontrar documentos potencialmente ocultos o parcialmente comprometidos por el ataque. Este método fue esencial para asegurar que no se dejara ningún archivo crítico atrás.
En cuanto a las bases de datos SQL Server, el proceso fue desafiante debido al grado de daño causado por la criptografía del ransomware. Sin embargo, la colaboración estrecha con una DBA altamente calificada del lado del cliente permitió ajustes efectivos en las bases de datos recuperadas, acelerando significativamente la recuperación y garantizando que los datos regresaran íntegros y operativos.
No fue necesario hacer adaptaciones especiales en la atención al cliente, gracias al profesionalismo del equipo interno de la empresa atacada. Digital Recovery mantuvo un contacto directo y abierto con el equipo del cliente, lo que facilitó la cooperación durante todo el proceso.
La presencia de una DBA cualificada en la empresa fue un diferencial crítico, permitiendo resolver rápidamente cuestiones técnicas relacionadas con la base de datos recuperada, reduciendo el tiempo de parada operativa y garantizando que los ajustes importantes se hicieran con precisión.
Gracias a la actuación especializada de Digital Recovery, todo el proceso de recuperación duró pocos días, desde el inicio hasta la entrega completa de los datos restaurados, lo que garantizó que el cliente pudiera retomar sus operaciones críticas rápidamente.
La recuperación total se completó con éxito en menos tiempo del previsto, lo que llevó al restablecimiento operativo completo de la empresa en menos de una semana, un tiempo significativamente inferior al de empresas que enfrentan situaciones similares sin un equipo especializado.
La empresa había quedado completamente paralizada al inicio del incidente, pero gracias a la actuación especializada de Digital Recovery, pudo retomar rápidamente las operaciones críticas, especialmente con la restauración eficiente de las bases de datos y el repositorio de PDFs.
Como lección de este incidente, quedó evidente la importancia de contar con un plan de respuesta a incidentes de ransomware estructurado y actualizado regularmente. La ausencia de un plan inicial generó más desafíos en la fase inicial de recuperación.
Infórmate aquí: Decrypt Akira Ransomware
