Il cliente, un’azienda di medie dimensioni nel settore del petrolio e del gas degli Stati Uniti, con un fatturato annuo significativo, è stata vittima di un attacco ransomware che ha compromesso dati critici per la sua operazione. L’azienda opera in un mercato altamente strategico e competitivo, gestendo quotidianamente volumi elevati di informazioni sensibili e strategiche, tra cui database SQL Server e repository di PDF.
L’attacco ransomware ha colpito direttamente circa 2 TB dei dati più importanti, inclusi database SQL Server essenziali per le operazioni quotidiane e un ampio repository di PDF contenenti contratti, report finanziari e documenti legali.
L’azienda non disponeva di un piano preesistente di Incident Response, il che ha reso la situazione ancora più difficile al momento della crisi. L’infrastruttura compromessa era composta da circa 10 macchine virtuali (VHDXs), tutte infette e inaccessibili.
L’attacco ha sfruttato vulnerabilità critiche e ha portato alla crittografia totale di dati vitali. Le indagini hanno rivelato che l’attacco è stato condotto dal gruppo ransomware Ransomhub, noto per i suoi attacchi sofisticati e mirati: il gruppo ha utilizzato tecniche avanzate per crittografare database SQL Server e documenti PDF critici, rendendo ancora più difficile il recupero senza un piano predefinito.
A causa dell’attacco, l’azienda è stata completamente paralizzata, generando gravi impatti finanziari, operativi e strategici. Il periodo di inattività ha compromesso la continuità operativa dei dipartimenti amministrativo e produttivo dell’azienda, con conseguenti perdite finanziarie significative e creando un clima di insicurezza interna.
Oltre all’impatto finanziario immediato, l’azienda affrontava una grande tensione emotiva. Il team responsabile della gestione IT era sotto forte pressione per ripristinare rapidamente i sistemi, mentre cercava di capire l’estensione totale dei danni causati.
Digital Recovery è stata chiamata per rispondere rapidamente all’incidente, offrendo un approccio tecnico preciso e mirato al recupero dei dati critici direttamente dai VHDX originali colpiti dal ransomware.
Il recupero è stato effettuato con successo tramite metodologie specializzate. In particolare, Digital Recovery ha eseguito un recupero dettagliato all’interno dei file VHDX originali compromessi, ripristinando completamente le macchine virtuali essenziali per la ripresa delle operazioni dell’azienda.
Per il recupero dei PDF, il team tecnico ha applicato una recupero aggiuntivo in modalità RAW, che ha permesso di trovare documenti potenzialmente nascosti o parzialmente compromessi dall’attacco. Questo metodo è stato essenziale per garantire che nessun file critico venisse lasciato indietro.
Per quanto riguarda le basi di dati SQL Server, il processo è stato impegnativo a causa del grado di danno causato dalla crittografia del ransomware. Tuttavia, la stretta collaborazione con una DBA altamente qualificata da parte del cliente ha permesso di apportare aggiustamenti efficaci alle basi di dati recuperate, accelerando notevolmente il recupero e garantendo che i dati tornassero integri e operativi.
Non è stato necessario fare adattamenti speciali nell’assistenza al cliente, grazie al professionalismo del team interno dell’azienda attaccata. Digital Recovery ha mantenuto un contatto diretto e aperto con il team del cliente, facilitando la cooperazione durante tutto il processo.
La presenza di una DBA qualificata nell’azienda è stata un vantaggio critico, permettendo di risolvere rapidamente le questioni tecniche relative al database recuperato, riducendo i tempi di fermo operativo e garantendo che gli aggiustamenti importanti venissero fatti con precisione.
Grazie all’intervento specializzato di Digital Recovery, l’intero processo di recupero è durato pochi giorni, dall’inizio alla consegna completa dei dati ripristinati, garantendo che il cliente potesse riprendere rapidamente le sue operazioni critiche.
Il recupero totale è stato completato con successo in meno tempo di quanto previsto, portando al completo ripristino operativo dell’azienda in meno di una settimana, un tempo significativamente inferiore rispetto alle aziende che affrontano situazioni simili senza un team specializzato.
L’azienda era stata completamente paralizzata all’inizio dell’incidente, ma grazie all’intervento specializzato di Digital Recovery, ha potuto riprendere rapidamente le operazioni critiche, specialmente con il ripristino efficiente dei database e del repository di PDF.
Come lezione di questo incidente, è emersa chiaramente l’importanza di disporre di un piano di risposta agli incidenti di ransomware strutturato e regolarmente aggiornato. L’assenza di un piano iniziale ha portato a ulteriori sfide nella fase iniziale di recupero.
