Digital Recovery a été sollicitée pour intervenir dans un incident critique impliquant une entreprise allemande de taille moyenne du secteur automobile, dont l’infrastructure informatique a été sévèrement compromise par une attaque de ransomware. L’ensemble des échanges et du suivi du dossier a été réalisé directement avec l’entreprise responsable du support informatique du client final.
Selon les premières analyses et les rapports techniques fournis par l’équipe de support informatique, l’attaque a eu pour origine l’exploitation du pare-feu, permettant aux cybercriminels d’obtenir un accès initial à l’environnement de sauvegarde puis, par la suite, au serveur de production. Ce type d’approche démontre une attaque ciblée, visant en priorité à compromettre les mécanismes de récupération afin de maximiser l’impact opérationnel.
Après l’accès non autorisé, les attaquants ont déployé le ransomware LockBit 5.0, l’une des variantes les plus avancées et destructrices à ce jour, connue pour sa capacité à chiffrer des environnements virtualisés complets en un laps de temps très court.
L’impact a été total. Toutes les machines virtuelles de l’environnement, y compris leurs fichiers VMDK, ont été chiffrées, compromettant entièrement les systèmes critiques utilisés par l’entreprise.
Le scénario technique présenté était hautement sensible et complexe. L’attaque a affecté :
- 1 serveur Lenovo, responsable de l’environnement de production
- 1 périphérique NAS Synology, utilisé comme système de sauvegarde
- Environ 1,3 To de données issues de bases de données d’entreprise
- Toutes les machines virtuelles de l’environnement, rendant le système indisponible
Bien que deux sauvegardes existaient, aucune n’était exploitable pour une restauration. L’une des sauvegardes a également été chiffrée lors de l’attaque, tandis que la seconde consistait en une sauvegarde sur bande avec un décalage d’environ huit mois, rendant son utilisation non viable du point de vue opérationnel et de la continuité d’activité.
L’entreprise ne disposait pas d’un plan structuré de réponse aux incidents de ransomware, ce qui a limité les alternatives immédiates après l’attaque et renforcé la nécessité d’une approche spécialisée dans la récupération de données chiffrées par ransomware.
Processus de récupération et intervention de Digital Recovery
Dans le cadre du protocole standard de Digital Recovery, l’envoi de tous les dispositifs physiques a été initialement demandé pour une analyse complète, incluant l’environnement de production et les sauvegardes. Cette approche permet d’évaluer toutes les voies de récupération possibles, augmentant ainsi de manière significative les chances de succès.
Face à l’impossibilité d’envoyer le serveur d’origine, l’équipe a rapidement adapté sa stratégie pour travailler avec les volumes copiés, tout en maintenant la rigueur technique nécessaire à un environnement compromis par un ransomware avancé.
La récupération a été rendue possible principalement grâce à la l’expérience de l’équipe technique de Digital Recovery dans des cas impliquant LockBit 5.0, associée à l’utilisation d’outils internes propriétaires développés spécifiquement pour des scénarios de chiffrement avancé. L’analyse détaillée des structures de données et du comportement du ransomware sur les fichiers VMDK a permis de définir l’approche la plus sûre et la plus efficace pour poursuivre la récupération.
De plus, l’équipe a opéré en régime 24×7, accélérant l’analyse du cas et réduisant le temps total d’indisponibilité des données.
Résultat final
Le processus complet de récupération a eu une durée de 10 jours calendaires, depuis le lancement du projet jusqu’à l’approbation finale des données récupérées. À l’issue de ce processus, les données critiques ont été restaurées avec succès, permettant à l’entreprise de reprendre ses opérations et d’assurer la continuité de son activité.
Le client s’est montré extrêmement satisfait du résultat, soulignant l’importance de pouvoir à nouveau accéder aux données afin de maintenir l’entreprise en activité. Un point notable observé tout au long du projet a été l’évolution de la perception du client : lors du premier contact, il y avait peu d’optimisme quant à la récupération, un scénario courant dans les attaques impliquant des ransomwares avancés.
Avec l’avancement du projet, une communication claire, une maîtrise technique de l’environnement et une transparence totale des informations ont été essentielles pour gagner la confiance du client et de son équipe de support informatique, transformant un scénario initialement pessimiste en un cas de succès.
Conclusion
Ce cas renforce le fait que les attaques de ransomware telles que LockBit 5.0 ne se contentent pas de chiffrer les données, mais compromettent également les sauvegardes et impliquent de multiples parties, telles que les compagnies d’assurance et les autorités policières, augmentant considérablement la complexité de la récupération.
Digital Recovery intervient précisément dans ces scénarios critiques, en offrant une récupération professionnelle des données chiffrées, même lorsque les sauvegardes échouent, que les environnements sont hautement virtualisés et que des restrictions légales ou opérationnelles existent. L’expertise technique, une méthodologie adaptée et une communication stratégique ont été déterminantes pour le succès de ce projet.
