Une entreprise italienne spécialisée dans le conseil en sécurité au travail ainsi que dans les programmes de formation et de certification obligatoires a fait appel à Digital Recovery après avoir subi une grave attaque de ransomware Akira. L’incident a été identifié un lundi matin, lorsque l’équipe est retournée au bureau et a constaté que l’ensemble de l’environnement critique était inaccessible.
L’environnement VMware était totalement indisponible, les dossiers stockés sur le NAS avaient été chiffrés et tous les systèmes responsables des formations, des certifications et de la documentation des clients étaient hors service. En pratique, l’activité de l’entreprise avait été totalement paralysée.
Le premier contact a été établi par l’administrateur informatique, qui faisait preuve d’une grande inquiétude. Il avait passé tout le week-end à tenter de comprendre l’origine et l’ampleur de l’attaque, mais à son retour au bureau, il a confirmé le pire scénario possible : tous les systèmes critiques étaient chiffrés.
Selon le responsable technique, l’entreprise dépendait directement de ces données pour maintenir la conformité légale de ses clients. La perte des registres de formation et des certifications rendrait impossible la continuité des opérations, en plus de générer des risques contractuels et juridiques immédiats.
L’urgence du cas était évidente dès le premier contact.
Évaluation technique initiale
Lors de l’analyse technique initiale, l’équipe de Digital Recovery a identifié que l’environnement était composé d’une infrastructure virtualisée sous VMware, de plusieurs fichiers VMDK chiffrés par le ransomware Akira ainsi que d’un NAS utilisé à la fois pour le stockage et les sauvegardes.
Akira est un ransomware connu pour adopter des stratégies agressives, notamment la corruption délibérée des structures de sauvegarde, dans le but d’éliminer les alternatives de récupération et de forcer le paiement de la rançon. Ce comportement augmentait considérablement la complexité du scénario et renforçait la crainte de l’entreprise de ne pas pouvoir récupérer ses données par des moyens conventionnels.
Après l’analyse détaillée menée par les ingénieurs de Digital Recovery, il a été possible d’identifier deux facteurs critiques ayant permis la récupération. Les snapshots présents sur le NAS contenaient des données techniquement récupérables et les en-têtes essentiels des fichiers VMDK n’avaient pas été détruits durant le processus de chiffrement.
Sur la base de ces constats, une stratégie de récupération à plusieurs niveaux a été définie. Le processus a impliqué la reconstruction structurelle des fichiers VMDK, permettant de restaurer l’intégrité logique des disques virtuels. En parallèle, les snapshots du NAS ont été extraits directement, en contournant les mécanismes traditionnels compromis par l’attaque.
Par la suite, tous les serveurs ont été reconstruits individuellement, avec une validation complète des systèmes d’exploitation, des applications et des services. Enfin, les plateformes de formation, de certification ainsi que l’ensemble de la documentation des clients ont été restaurées et testées afin de garantir la cohérence, l’intégrité et la fiabilité opérationnelle.
L’ensemble du travail a été réalisé avec un contrôle technique et médico-légal rigoureux, garantissant la traçabilité, la sécurité et la préservation des données récupérées.
Résultat final
Le projet a été mené à bien avec la récupération totale de l’environnement. Tous les serveurs et documents, ainsi que les plateformes de formation et de certification utilisées par l’entreprise, ont été restaurés avec succès. Aucun paiement de rançon n’a été nécessaire et aucune interruption liée aux exigences de conformité réglementaire ou contractuelle n’a été constatée.
L’entreprise italienne a pu reprendre pleinement ses activités, en préservant la continuité de ses opérations, la confiance de ses clients et sa réputation sur le marché.
Ce cas démontre que, même face à un ransomware hautement destructeur comme Akira, une approche technique spécialisée, associée à une ingénierie avancée de récupération des données, peut éviter des pertes irréversibles et éliminer la nécessité de négocier avec des criminels.
Digital Recovery renforce, avec ce projet, sa position en tant qu’entreprise spécialisée dans la récupération d’environnements virtualisés chiffrés par ransomware, opérant de manière technique, stratégique et indépendante, avec un focus constant sur la restauration complète des données et la préservation de l’intégrité opérationnelle des entreprises affectées.
