Digital Recovery è stata coinvolta per intervenire in un incidente critico che ha coinvolto un’azienda di medie dimensioni del settore automobilistico tedesco, la cui infrastruttura IT è stata gravemente compromessa da un attacco ransomware. Tutti i contatti e il monitoraggio del caso sono stati gestiti direttamente con l’azienda responsabile del supporto IT del cliente finale.
Secondo le prime analisi e le segnalazioni tecniche fornite dal team di supporto IT, l’attacco ha avuto origine nello sfruttamento del firewall, consentendo ai criminali di ottenere l’accesso iniziale all’ambiente di backup e, successivamente, al server di produzione. Questo tipo di approccio dimostra un attacco mirato, incentrato sul compromettere prima i meccanismi di ripristino per massimizzare l’impatto operativo.
Dopo l’accesso non autorizzato, gli attaccanti hanno eseguito il ransomware LockBit 5.0, una delle varianti più avanzate e distruttive dell’attualità, nota per la sua capacità di cifrare ambienti virtualizzati completi in un breve lasso di tempo.
L’impatto è stato totale. Tutte le macchine virtuali dell’ambiente, inclusi i relativi file VMDK, sono state cifrate, compromettendo completamente i sistemi critici utilizzati dall’azienda.
Lo scenario tecnico presentato era altamente sensibile e complesso. L’attacco ha colpito:
- 1 server Lenovo, responsabile dell’ambiente produttivo
- 1 dispositivo Synology NAS, utilizzato come sistema di backup
- Circa **1,3 TB di dati di database aziendali**
- Tutte le macchine virtuali dell’ambiente, rendendo il sistema indisponibile
Sebbene esistessero due backup, nessuno di essi era utilizzabile per il ripristino. Uno dei backup è stato anch’esso cifrato durante l’attacco, mentre il secondo consisteva in un backup su nastro con una obsolescenza di circa otto mesi, rendendone l’utilizzo non praticabile dal punto di vista operativo e della continuità aziendale.
L’azienda non disponeva di un piano strutturato di risposta agli incidenti ransomware, il che ha limitato le alternative immediate dopo l’attacco e ha rafforzato la necessità di un approccio specializzato nel recupero di dati cifrati da ransomware.
Processo di recupero e intervento di Digital Recovery
Come parte del protocollo standard di Digital Recovery, è stato inizialmente richiesto l’invio di tutti i dispositivi fisici per un’analisi completa, includendo l’ambiente produttivo e i backup. Questo approccio consente di valutare tutti i possibili percorsi di recupero, aumentando significativamente le probabilità di successo.
Di fronte all’impossibilità di inviare il server originale, il team ha rapidamente adattato la strategia per lavorare con i volumi copiati, mantenendo il rigore tecnico necessario per un ambiente compromesso da ransomware avanzato.
Il recupero è stato reso possibile principalmente grazie alla esperienza del team tecnico di Digital Recovery in casi che coinvolgono LockBit 5.0, unita all’utilizzo di strumenti interni proprietari sviluppati specificamente per scenari di crittografia avanzata. L’analisi dettagliata delle strutture dei dati e del comportamento del ransomware sui file VMDK ha permesso di definire l’approccio più sicuro ed efficace per procedere con il recupero.
Inoltre, il team ha operato in regime 24×7, accelerando l’analisi del caso e riducendo il tempo totale di indisponibilità dei dati.
Risultato finale
Il processo completo di recupero ha avuto una durata di 10 giorni consecutivi, dall’avvio del progetto fino all’approvazione finale dei dati recuperati. Al termine, i dati critici sono stati ripristinati con successo, consentendo all’azienda di riprendere le proprie operazioni e garantire la continuità del business.
Il cliente si è dimostrato estremamente soddisfatto del risultato, sottolineando l’importanza di poter accedere nuovamente ai dati per mantenere l’azienda operativa. Un aspetto rilevante osservato nel corso del progetto è stato il cambiamento di percezione del cliente: nel primo contatto vi era poco ottimismo riguardo alla possibilità di recupero, uno scenario comune negli attacchi che coinvolgono ransomware avanzati.
Con l’avanzamento del progetto, la comunicazione chiara, la padronanza tecnica dell’ambiente e la trasparenza delle informazioni sono state fondamentali per conquistare la fiducia del cliente e del suo team di supporto IT, trasformando uno scenario inizialmente pessimista in un caso di successo.
Conclusione
Questo caso rafforza il fatto che attacchi ransomware come LockBit 5.0 non si limitano a crittografare i dati, ma compromettono anche i backup e coinvolgono più parti, come compagnie assicurative e autorità di polizia, aumentando significativamente la complessità del recupero.
Digital Recovery opera esattamente in questi scenari critici, offrendo il recupero professionale di dati crittografati, anche quando i backup falliscono, gli ambienti sono altamente virtualizzati ed esistono restrizioni legali o operative. L’esperienza tecnica, una metodologia adeguata e una comunicazione strategica sono state determinanti per il successo di questo progetto.
