O cliente, uma empresa média do setor de petróleo e gás dos Estados Unidos, com faturamento bruto anual significativo, foi vítima de um ataque de ransomware que comprometeu dados críticos para sua operação. A empresa atua em um mercado altamente estratégico e competitivo, movimentando volumes elevados de informações sensíveis e estratégicas diariamente, incluindo bases de dados SQL Server e repositórios de PDFs.
O ataque ransomware afetou diretamente cerca de 2TB dos dados mais importantes, incluindo databases SQL Server essenciais para operações diárias e um extenso repositório de PDFs que continha contratos, relatórios financeiros e documentos legais.
A empresa não possuía um plano prévio de Incident Response, o que dificultou ainda mais a situação no momento da crise. A infraestrutura comprometida era composta por aproximadamente 10 máquinas virtuais (VHDXs), todas infectadas e inacessíveis.
O ataque explorou vulnerabilidades críticas e culminou na criptografia total de dados vitais. As investigações apontaram que o ataque foi conduzido pelo grupo ransomware Ransomhub conhecido por seus ataques sofisticados e direcionados: o grupo utilizou técnicas avançadas para criptografar bases de dados SQL Server e documentos PDF críticos, dificultando ainda mais a recuperação sem um plano pré-definido.
Devido ao ataque, a empresa ficou totalmente paralisada, gerando sérios impactos financeiros, operacionais e estratégicos. O período de paralisação comprometeu a continuidade operacional do departamento administrativo e produtivo da empresa, resultando em perdas financeiras significativas e gerando um clima de insegurança interna.
Além do impacto financeiro imediato, a empresa enfrentava grande tensão emocional. A equipe responsável pela gestão de TI estava sob forte pressão para restaurar rapidamente os sistemas, enquanto tentava entender a extensão total dos danos causados.
A Digital Recovery foi acionada para responder rapidamente ao incidente, oferecendo uma abordagem técnica precisa e direcionada à recuperação dos dados críticos diretamente dos VHDXs originais afetados pelo ransomware.
A recuperação foi feita com sucesso através de metodologias especializadas. Especificamente, a Digital Recovery realizou uma recuperação detalhada dentro dos arquivos VHDX originais afetados, restaurando completamente as máquinas virtuais essenciais para a retomada das operações da empresa.
Para a recuperação dos PDFs, a equipe técnica aplicou uma recuperação adicional em modo RAW, o que permitiu encontrar documentos potencialmente ocultos ou parcialmente comprometidos pelo ataque. Este método foi essencial para assegurar que nenhum arquivo crítico fosse deixado para trás.
Quanto às bases SQL Server, o processo foi desafiador devido ao grau de dano causado pela criptografia do ransomware. Contudo, a colaboração próxima com uma DBA altamente qualificada do lado do cliente permitiu ajustes eficazes nas bases recuperadas, acelerando significativamente a recuperação e garantindo que os dados voltassem íntegros e operacionais.
Não foi necessário fazer adaptações especiais no atendimento ao cliente, graças ao profissionalismo da equipe interna da empresa atacada. A Digital Recovery manteve um contato direto e aberto com a equipe do cliente, que facilitou a cooperação durante todo o processo.
A presença de uma DBA qualificada na empresa foi um diferencial crítico, permitindo resolver rapidamente questões técnicas relacionadas ao banco de dados recuperado, reduzindo o tempo de parada operacional e garantindo que ajustes importantes fossem feitos com precisão.
Graças à atuação especializada da Digital Recovery, todo o processo de recuperação durou poucos dias, desde o início até a entrega completa dos dados restaurados, o que garantiu que o cliente pudesse retomar suas operações críticas rapidamente.
A recuperação total foi concluída com sucesso em menos tempo que o previsto, levando ao restabelecimento operacional completo da empresa em menos de uma semana, um tempo significativamente inferior ao de empresas que enfrentam situações similares sem uma equipe especializada.
A empresa havia ficado totalmente paralisada no início do incidente, mas, graças à atuação especializada da Digital Recovery, pôde retomar as operações críticas rapidamente, especialmente com a restauração eficiente dos bancos de dados e do repositório de PDFs.
Como aprendizado desse incidente, ficou evidente a importância de possuir um plano de resposta a incidentes de ransomware estruturado e atualizado regularmente. A ausência de um plano inicial acabou gerando mais desafios na fase inicial de recuperação.
