Una grande azienda svizzera operante nel settore della logistica ha vissuto il peggior scenario immaginabile per il proprio team IT. Sfruttando una vulnerabilità non corretta, gli hacker hanno penetrato la rete e distribuito il ransomware Akira, rinominando tutti i file critici con l’estensione .akira e rendendo inaccessibile l’ambiente VMware responsabile delle operazioni centrali di routing e gestione dei carichi. Nel giro di pochi minuti, sono stati colpiti anche due NAS Synology contenenti snapshot e backup giornalieri, neutralizzando così la tradizionale via di recupero. Privi di un piano formale di risposta agli incidenti e con tutte le operazioni bloccate, il team tecnico ha sentito il peso della responsabilità, mentre la direzione, emotivamente provata, cercava una soluzione che non prevedesse la negoziazione con i criminali.
È stato in questo momento che Digital Recovery è stata chiamata in causa. Fin dal primo contatto, i nostri ingegneri hanno stabilito una comunicazione telefonica diretta con il CIO e aperto un canale sicuro via email per lo scambio di informazioni sensibili. La diagnosi iniziale ha confermato l’entità del danno: tutti i volumi VMware criptati e le partizioni dei NAS bloccate. L’urgenza era evidente — ogni ora di inattività causava ritardi logistici in vari hub europei. Senza poter ricorrere ai backup compromessi, abbiamo definito un piano di recupero.
La strategia è iniziata con l’isolamento fisico dei NAS per impedire qualsiasi sovrascrittura e con la creazione di immagini forensi settoriali in formato UFS, garantendo così l’integrità dei blocchi. In laboratorio, abbiamo utilizzato tecnologie proprietarie capaci di montare direttamente volumi Btrfs da queste immagini, ricostruendo i metadati e riaggregando i file VMDK essenziali per l’ambiente virtuale. Durante tutto il processo, abbiamo tenuto il cliente costantemente informato tramite report giornalieri e chiamate di aggiornamento, garantendo trasparenza e alleviando l’ansia della direzione.
Al terzo giorno di lavoro, il nostro team ha individuato l’esistenza di un repository di backup non documentato, miracolosamente intatto, situato in un secondo data center. Questa scoperta ha permesso di accelerare il ripristino di una parte delle macchine virtuali: solo una VM ha dovuto rimanere spenta per garantire la coerenza del gruppo recuperato. Al quinto giorno dall’apertura della chiamata, abbiamo consegnato tutti i dati validati, fornendo al cliente gli hash di verifica per consentire un audit indipendente. Le operazioni logistiche sono riprese senza la necessità di pagare un riscatto, e il team interno ha riferito un immediato sollievo nel vedere i terminali nuovamente operativi con code di spedizione normalizzate.
Questa esperienza ha rafforzato due lezioni fondamentali: mantenere backup segmentati — incluse copie offline — e creare un piano di risposta agli incidenti che venga periodicamente testato. Per Digital Recovery, questo caso ha dimostrato ancora una volta che, anche di fronte a un ransomware sofisticato come Akira, la combinazione di tecniche forensi avanzate, comunicazione chiara con il cliente e un’assoluta attenzione al recupero dei dati colpiti da ransomware può ripristinare le operazioni critiche in tempi record.
