Le client, une entreprise de taille moyenne dans le secteur du pétrole et du gaz aux États-Unis, avec un chiffre d’affaires brut annuel significatif, a été victime d’une attaque de ransomware qui a compromis des données critiques pour son fonctionnement. L’entreprise évolue dans un marché hautement stratégique et compétitif, traitant quotidiennement des volumes importants d’informations sensibles et stratégiques, y compris des bases de données SQL Server et des répertoires de fichiers PDF.
L’attaque de ransomware a directement affecté environ 2 To des données les plus importantes, y compris des bases de données SQL Server essentielles pour les opérations quotidiennes et un vaste répertoire de fichiers PDF contenant des contrats, des rapports financiers et des documents juridiques.
L’entreprise ne disposait pas d’un plan préalable de réponse aux incidents, ce qui a encore compliqué la situation au moment de la crise. L’infrastructure compromise se composait d’environ 10 machines virtuelles (VHDXs), toutes infectées et inaccessibles.
L’attaque a exploité des vulnérabilités critiques et a abouti à un cryptage total des données vitales. Les enquêtes ont révélé que l’attaque a été menée par le groupe ransomware Ransomhub, connu pour ses attaques sophistiquées et ciblées : le groupe a utilisé des techniques avancées pour crypter des bases de données SQL Server et des documents PDF critiques, rendant encore plus difficile la récupération sans un plan prédéfini.
En raison de l’attaque, l’entreprise a été totalement paralysée, entraînant de graves impacts financiers, opérationnels et stratégiques. La période d’arrêt a compromis la continuité opérationnelle des départements administratif et de production de l’entreprise, entraînant des pertes financières importantes et créant un climat d’insécurité interne.
En plus de l’impact financier immédiat, l’entreprise faisait face à une grande tension émotionnelle. L’équipe responsable de la gestion des TI était sous une forte pression pour restaurer rapidement les systèmes, tout en essayant de comprendre l’étendue totale des dommages causés.
Digital Recovery a été appelée pour répondre rapidement à l’incident, offrant une approche technique précise et ciblée pour la récupération des données critiques directement à partir des VHDXs originaux affectés par le ransomware.
La récupération a été réalisée avec succès grâce à des méthodologies spécialisées. Plus précisément, Digital Recovery a effectué une récupération détaillée à l’intérieur des fichiers VHDX originaux affectés, restaurant complètement les machines virtuelles essentielles pour la reprise des opérations de l’entreprise.
Pour la récupération des PDFs, l’équipe technique a appliqué une récupération supplémentaire en mode RAW, ce qui a permis de retrouver des documents potentiellement cachés ou partiellement compromis par l’attaque. Cette méthode a été essentielle pour s’assurer qu’aucun fichier critique ne soit laissé de côté.
Quant aux bases SQL Server, le processus a été difficile en raison du niveau de dommage causé par le cryptage du ransomware. Cependant, la collaboration étroite avec une DBA hautement qualifiée du côté du client a permis des ajustements efficaces dans les bases récupérées, accélérant considérablement la récupération et garantissant que les données soient restaurées de manière intacte et opérationnelle.
Il n’a pas été nécessaire de faire des adaptations spéciales dans le service client, grâce au professionnalisme de l’équipe interne de l’entreprise attaquée. Digital Recovery a maintenu un contact direct et ouvert avec l’équipe du client, ce qui a facilité la coopération tout au long du processus.
La présence d’une DBA qualifiée au sein de l’entreprise a été un élément différenciateur crucial, permettant de résoudre rapidement les problèmes techniques liés à la base de données récupérée, réduisant le temps d’arrêt opérationnel et garantissant que des ajustements importants soient effectués avec précision.
Grâce à l’intervention spécialisée de Digital Recovery, tout le processus de récupération a duré quelques jours, depuis le début jusqu’à la livraison complète des données restaurées, ce qui a permis au client de reprendre rapidement ses opérations critiques.
La récupération totale a été achevée avec succès en moins de temps que prévu, conduisant à un rétablissement opérationnel complet de l’entreprise en moins d’une semaine, un temps significativement inférieur à celui des entreprises confrontées à des situations similaires sans équipe spécialisée.
L’entreprise avait été totalement paralysée au début de l’incident, mais grâce à l’intervention spécialisée de Digital Recovery, elle a pu reprendre rapidement ses opérations critiques, notamment avec la restauration efficace des bases de données et du répertoire de fichiers PDF.
Comme leçon de cet incident, il est devenu évident l’importance de disposer d’un plan de réponse aux incidents de ransomware structuré et régulièrement mis à jour. L’absence d’un plan initial a finalement créé davantage de défis lors de la phase initiale de récupération.
