A Digital Recovery foi acionada para atuar em um incidente crítico envolvendo uma empresa de médio porte do setor automobilístico Alemã, cuja infraestrutura de TI foi severamente comprometida por um ataque ransomware. Todo o contato e acompanhamento do caso foram realizados diretamente com a empresa responsável pelo suporte de TI do cliente final.
De acordo com as primeiras análises e relatos técnicos fornecidos pela equipe de suporte de TI, o ataque teve origem na exploração do firewall, permitindo que os criminosos obtivessem acesso inicial ao ambiente de backup e, posteriormente, ao servidor de produção. Esse tipo de abordagem demonstra um ataque direcionado, focado em comprometer primeiro os mecanismos de recuperação para maximizar o impacto operacional.
Após o acesso indevido, os atacantes executaram o ransomware LockBit 5.0, uma das variantes mais avançadas e destrutivas da atualidade, conhecida por sua capacidade de encriptar ambientes virtualizados completos em um curto espaço de tempo.
O impacto foi total. Todas as máquinas virtuais do ambiente, incluindo seus arquivos VMDK, foram criptografadas, comprometendo completamente os sistemas críticos utilizados pela empresa.
O cenário técnico apresentado era altamente sensível e complexo. O ataque afetou:
- 1 servidor Lenovo, responsável pelo ambiente produtivo
- 1 dispositivo Synology NAS, utilizado como backup
- Aproximadamente 1,3 TB de dados de bancos de dados corporativos
- Todas as máquinas virtuais do ambiente, tornando o sistema indisponível
Embora existissem dois backups, nenhum deles era viável para restauração. Um dos backups também foi encriptado durante o ataque, enquanto o segundo consistia em backup em fita com defasagem de aproximadamente oito meses, o que tornava sua utilização inviável do ponto de vista operacional e de continuidade do negócio.
A empresa não possuía um plano estruturado de resposta a incidentes de ransomware, o que limitou as alternativas imediatas após o ataque e reforçou a necessidade de uma abordagem especializada em recuperação de dados encriptados por ransomware.
Processo de recuperação e atuação da Digital Recovery
Como parte do protocolo padrão da Digital Recovery, foi solicitado inicialmente o envio de todos os dispositivos físicos para análise completa, incluindo ambiente produtivo e backups. Essa abordagem permite avaliar todos os caminhos possíveis de recuperação, aumentando significativamente as chances de sucesso.
Diante da impossibilidade de envio do servidor original, a equipe adaptou rapidamente a estratégia para trabalhar com os volumes copiados, mantendo o rigor técnico necessário para um ambiente comprometido por ransomware avançado.
A recuperação foi viabilizada principalmente pela experiência da equipe técnica da Digital Recovery em casos envolvendo o LockBit 5.0, aliada ao uso de ferramentas internas proprietárias desenvolvidas especificamente para cenários de criptografia avançada. A análise detalhada das estruturas de dados e do comportamento do ransomware sobre os arquivos VMDK permitiu definir a abordagem mais segura e eficaz para avançar com a recuperação.
Além disso, a equipe atuou em regime 24×7, acelerando a análise do caso e reduzindo o tempo total de indisponibilidade dos dados.
Resultado Final
O processo completo de recuperação teve duração de 10 dias corridos, desde a entrada do projeto até a aprovação final dos dados recuperados. Ao final, os dados críticos foram restaurados com sucesso, permitindo que a empresa retomasse suas operações e garantisse a continuidade do negócio.
O cliente demonstrou-se extremamente satisfeito com o resultado, destacando a importância de ter novamente acesso aos dados para manter a empresa em funcionamento. Um ponto relevante observado ao longo do projeto foi a mudança de percepção do cliente: no primeiro contato, havia pouco otimismo em relação à recuperação, cenário comum em ataques envolvendo ransomware avançado.
Com o avanço do projeto, a comunicação clara, o domínio técnico do ambiente e a transparência nas informações foram fundamentais para conquistar a confiança do cliente e de sua equipe de suporte de TI, transformando um cenário inicialmente pessimista em um caso de sucesso.
Conclusão
Este caso reforça que ataques de ransomware como o LockBit 5.0 não apenas encriptam dados, mas também comprometem backups e envolvem múltiplas partes, como seguradoras e autoridades policiais, aumentando significativamente a complexidade da recuperação.
A Digital Recovery atua exatamente nesses cenários críticos, oferecendo recuperação profissional de dados encriptados, mesmo quando os backups falham, os ambientes são altamente virtualizados e existem restrições legais ou operacionais. Experiência técnica, metodologia adequada e comunicação estratégica foram determinantes para o sucesso deste projeto.
