Uma corporação suíça de grande porte que atua no setor de logística vivenciou o pior cenário que seu time de TI poderia imaginar. Pela exploração de uma vulnerabilidade não corrigida, invasores penetraram na rede e implantaram o ransomware Akira, renomeando todos os arquivos críticos com a extensão .akira e tornando inacessível o ambiente VMware responsável pelas operações centrais de roteamento e gestão de cargas. Em questão de minutos, também foram atingidos dois NAS Synology que armazenavam snapshots e cópias de segurança diárias, anulando a via tradicional de restauração. Sem um plano formal de resposta a incidentes e com toda a operação paralisada, a equipe técnica sentiu o peso da responsabilidade enquanto a diretoria, emocionalmente abalada, buscava uma saída que não envolvesse negociar com criminosos.
Foi nesse ponto que a Digital Recovery foi acionada. Logo no primeiro contato, nossos engenheiros estabeleceram comunicação telefônica direta com o CIO e abriram um canal seguro por e-mail para troca de informações sensíveis. O diagnóstico inicial confirmou a extensão do dano: todos os volumes VMware encriptados e as partições dos NAS bloqueadas. A urgência era clara — cada hora de inatividade repercutia em atrasos logísticos em vários hubs europeus. Sem possibilidade de recorrer aos backups comprometidos, definimos um plano de recuperação.
A estratégia começou pelo isolamento físico dos NAS para impedir qualquer sobregravação e pela criação de imagens forenses setoriais em formato UFS, garantindo a integridade dos blocos. Em laboratório, utilizamos tecnologias proprietárias capazes de montar volumes Btrfs diretamente a partir dessas imagens, reconstruindo metadados e reagrupando os arquivos VMDK indispensáveis ao ambiente virtual. Durante todo o processo, mantivemos o cliente informado por relatórios diários e chamadas de acompanhamento, oferecendo transparência e reduzindo a ansiedade da diretoria.
No terceiro dia de trabalho, nossa equipe identificou a existência de um repositório de backup não documentado em um segundo datacenter, milagrosamente intacto. Essa descoberta permitiu acelerar a restauração de parte das máquinas virtuais: somente uma VM precisou permanecer desligada para preservar a consistência do conjunto recuperado. No quinto dia após a abertura do chamado, entregamos todos os dados validados, com hashes de verificação fornecidos ao cliente para auditoria independente. A operação logística foi retomada sem necessidade de pagamento de resgate, e o time interno relatou alívio imediato ao ver os terminais voltarem a exibir filas de despacho normalizadas.
Essa experiência reforçou duas lições fundamentais: manter backups segmentados — inclusive cópias offline — e criar um plano de resposta a incidentes que seja testado periodicamente. Para a Digital Recovery, o caso demonstrou mais uma vez que, mesmo diante de ransomware sofisticado como o Akira, a combinação de técnicas forenses avançadas, comunicação clara com o cliente e foco absoluto na recuperação de dados afetados por ransomware pode restaurar operações críticas em tempo recorde.
