Quando i primi segnali di instabilità sono comparsi sul file server della scuola, ancora nelle prime ore di un venerdì mattina, il dipartimento IT ha pensato si trattasse di un problema banale nell’infrastruttura VMware. Tuttavia, pochi minuti dopo, le macchine virtuali hanno iniziato a mostrare estensioni insolite nei nomi dei file; in poche ore, l’intero campus era rimasto senza accesso ad esami, registri accademici, sistemi di iscrizione e persino al controllo delle presenze degli insegnanti. Si trattava del ransomware Interlock, che aveva criptato completamente il file server ospitato su ESXi — e, come se non bastasse, anche i backup archiviati nello stesso pool di dischi.
Senza un piano di risposta agli incidenti, gli amministratori hanno lavorato incessantemente, cercando di identificare il vettore d’ingresso e salvare almeno uno snapshot integro. È stato durante questa corsa contro il tempo che la direzione accademica ha contattato Digital Recovery. La richiesta era diretta: recuperare il contenuto essenziale delle macchine virtuali. Per rendere possibile il progetto, abbiamo aperto un canale di comunicazione 24×7, compresi turni di reperibilità nel fine settimana e riunioni notturne per allineare ogni progresso con il coordinatore IT e il rettore.
Già nelle prime analisi da remoto abbiamo constatato che Interlock aveva eliminato i log e sovrascritto le strutture di backup, rendendo inutili i tentativi tradizionali di ripristino. Abbiamo quindi reindirizzato i nostri sforzi verso tecniche di scansione a livello di blocco, estraendo frammenti validi direttamente dai datastore ESXi. La fiducia del cliente è vacillata quando altre aziende hanno promesso soluzioni miracolose; tuttavia, abbiamo mantenuto la calma, presentato confronti tecnici e dimostrato come i nostri algoritmi di rebuilding preservassero i metadati del file system che, a prima vista, sembravano persi. Questa trasparenza è stata decisiva per consolidare la partnership.
Nel corso di tre settimane, il nostro team ha raggruppato i volumi VMDK, ricostruendo le cartelle di ogni classe, i materiali didattici e la documentazione scolastica — dati senza i quali il semestre sarebbe stato compromesso. Ogni fase è stata convalidata tramite hash di integrità condivisi in tempo reale con l’amministratore capo della scuola. Sebbene il processo sia ancora nella fase finale di consolidamento, i file critici sono già stati restituiti, consentendo alle lezioni di seguire il normale calendario e agli studenti di non perdere le scadenze per le iscrizioni alle università.
Questo caso evidenzia la fragilità degli ambienti virtualizzati che concentrano produzione e backup nello stesso gruppo di dischi, ma dimostra anche come un’assistenza dedicata e soluzioni specifiche per VMware possano ribaltare scenari apparentemente irrecuperabili. Oggi la scuola sta rivedendo la propria politica di backup offline e sta elaborando, con il nostro supporto consulenziale, un vero piano di risposta agli incidenti, decisa a non rivivere più notti insonni a causa di un ransomware.
Possiamo intervenire in tutti i casi di attacchi ransomware; parla con i nostri specialisti.
