Uma empresa do setor financeiro no Quênia enfrentou um grave incidente de ransomware que comprometeu seu ambiente virtual VMware e paralisou suas operações por uma semana. O ataque afetou um volume superior a 10 TB de dados críticos e gerou uma situação de extrema pressão para o cliente, que precisava restabelecer a continuidade do negócio no menor tempo possível.
Il gruppo responsabile dell’attacco è stato identificato come The Gentlemen, che ha criptato sistemi essenziali ospitati sull’hypervisor virtuale VMware dell’azienda. Poiché si trattava di un’organizzazione del settore finanziario, l’impatto è stato immediato e severo. L’accesso ai sistemi critici è stato bloccato, le operazioni essenziali sono state interrotte e il cliente si è trovato in uno stato di disperazione a causa del prolungarsi dell’indisponibilità.
Uno dei punti più critici dell’incidente è stata la indisponibilità dei backup. Gli aggressori hanno eliminato i backup esistenti, eliminando il percorso convenzionale più rapido di ripristino e aumentando significativamente l’urgenza e la complessità del progetto. Inoltre, il cliente non disponeva di un piano di risposta agli incidenti ransomware, il che ha reso lo scenario ancora più impegnativo.
Per affrontare questa situazione, abbiamo offerto una diagnosi remota seguita da una strategia di recupero remoto, con l’obiettivo di ripristinare i dati più critici nel minor tempo possibile. Questo approccio ha richiesto adattamenti, poiché casi con questo livello di complessità e volume di dati normalmente non vengono gestiti da remoto. Tuttavia, in questo progetto erano presenti due limitazioni importanti: la connessione internet del cliente era molto scarsa e non voleva che i dati uscissero dalle sue strutture.
Nonostante queste restrizioni, siamo riusciti a strutturare un’operazione sicura ed efficiente. Il recupero remoto richiede sempre attenzioni aggiuntive, soprattutto per proteggere la nostra tecnologia, metodologia e l’ambiente operativo durante tutto il processo. Nonostante ciò, il progetto si è svolto con successo, con comunicazione costante e piena disponibilità del nostro team.
Uno dei fattori decisivi per il successo del caso è stato il recupero del database principale dell’azienda. Poiché questo database concentrava informazioni essenziali per l’operatività, il suo ripristino ha rappresentato il punto più importante per la ripresa del business. Durante tutto il progetto, abbiamo garantito assistenza 24 ore su 24, 7 giorni su 7, il che è stato fondamentale per trasmettere sicurezza al cliente, accelerare le decisioni e mantenere il progresso tecnico senza interruzioni.
Nonostante le sfide coinvolte, inclusa la recupero remoto di oltre 10 TB di dati in un ambiente sensibile, il progetto è stato completato in una settimana, dall’apertura del caso fino all’approvazione finale dei dati recuperati. Al termine, il cliente ha ricevuto nuovamente il proprio database principale ed è rimasto molto soddisfatto del risultato ottenuto.
Questo caso dimostra che, anche in scenari complessi, con backup eliminati, un grande volume di dati e importanti limitazioni operative, una strategia tecnica ben eseguita può rendere possibile il recupero di informazioni critiche e ridurre drasticamente gli impatti di un attacco ransomware.
