Un’azienda italiana specializzata in consulenza per la sicurezza sul lavoro e in programmi di formazione e certificazione obbligatoria si è rivolta a Digital Recovery dopo aver subito un grave attacco ransomware Akira. L’incidente è stato individuato in un lunedì mattina, quando il team è rientrato in ufficio e ha trovato l’intero ambiente critico inaccessibile.
L’ambiente VMware era completamente indisponibile, le cartelle archiviate su NAS erano state criptate e tutti i sistemi responsabili di formazione, certificazioni e documentazione dei clienti erano offline. In pratica, l’operatività dell’azienda era stata completamente paralizzata.
Il primo contatto è stato effettuato dall’amministratore IT, che mostrava grande apprensione. Aveva trascorso l’intero fine settimana cercando di comprendere l’origine e l’estensione dell’attacco, ma al rientro in ufficio ha confermato lo scenario peggiore possibile: tutti i sistemi critici erano criptati.
Secondo il responsabile tecnico, l’azienda dipendeva direttamente da questi dati per mantenere la conformità legale dei propri clienti. La perdita dei registri di formazione e delle certificazioni avrebbe reso impossibile la continuità delle operazioni, oltre a generare rischi contrattuali e legali immediati.
L’urgenza del caso era evidente fin dal primo contatto.
Valutazione tecnica iniziale
Durante l’analisi tecnica iniziale, il team di Digital Recovery ha identificato che l’ambiente era composto da un’infrastruttura virtualizzata su VMware, diversi file VMDK criptati dal ransomware Akira e un NAS utilizzato sia per l’archiviazione che per i backup.
Il Akira è un ransomware noto per adottare strategie aggressive, tra cui la corruzione deliberata delle strutture di backup, con l’obiettivo di eliminare le alternative di recupero e forzare il pagamento del riscatto. Questo comportamento aumentava significativamente la complessità dello scenario e rafforzava il timore dell’azienda di non riuscire a recuperare i propri dati attraverso metodi convenzionali.
Dopo l’analisi dettagliata condotta dagli ingegneri di Digital Recovery, è stato possibile identificare due fattori critici che hanno reso possibile il recupero. Gli snapshot presenti sul NAS contenevano dati tecnicamente recuperabili e gli header essenziali dei file VMDK non erano stati distrutti durante il processo di crittografia.
Sulla base di queste constatazioni, è stata definita una strategia di recupero a più livelli. Il processo ha coinvolto la ricostruzione strutturale dei file VMDK, consentendo di ripristinare l’integrità logica dei dischi virtuali. In parallelo, gli snapshot del NAS sono stati estratti direttamente, aggirando i meccanismi tradizionali compromessi dall’attacco.
Successivamente, tutti i server sono stati ricostruiti individualmente, con una validazione completa dei sistemi operativi, delle applicazioni e dei servizi. Infine, le piattaforme di formazione, certificazione e tutta la documentazione dei clienti sono state ripristinate e testate per garantire coerenza, integrità e affidabilità operativa.
Tutto il lavoro è stato condotto con un rigoroso controllo tecnico e forense, garantendo tracciabilità , sicurezza e la preservazione dei dati recuperati.
Risultato finale
Il progetto è stato completato con il recupero totale dell’ambiente. Tutti i server e i documenti sono stati ripristinati con successo, così come le piattaforme di formazione e certificazione utilizzate dall’azienda. Non è stato necessario alcun pagamento di riscatto e non si è verificata alcuna interruzione legata ai requisiti di conformità normativa o contrattuale.
L’azienda italiana è riuscita a riprendere integralmente le proprie operazioni, preservando la continuità operativa, la fiducia dei clienti e la propria reputazione sul mercato.
Questo caso dimostra che, anche di fronte a un ransomware altamente distruttivo come Akira, un approccio tecnico specializzato, unito a un’ingegneria avanzata di recupero dei dati, può evitare perdite irreversibili ed eliminare la necessità di negoziare con i criminali.
Digital Recovery rafforza, con questo progetto, la propria posizione come azienda specializzata nel recupero di ambienti virtualizzati criptati da ransomware, operando in modo tecnico, strategico e indipendente, sempre con un focus sul ripristino completo dei dati e sulla preservazione dell’integrità operativa delle aziende colpite.
