Uma empresa italiana especializada em consultoria em segurança do trabalho e programas de treinamento e certificação obrigatória procurou a Digital Recovery após sofrer um ataque severo de ransomware Akira. O incidente foi identificado em uma segunda-feira pela manhã, quando a equipe retornou ao escritório e encontrou todo o ambiente crítico inacessível.
O ambiente VMware estava completamente indisponível, as pastas armazenadas em NAS haviam sido encriptadas e todos os sistemas responsáveis por treinamentos, certificações e documentação de clientes estavam fora do ar. Na prática, a operação da empresa havia sido totalmente paralisada.
O primeiro contato foi feito pelo administrador de TI, que demonstrava grande apreensão. Ele havia passado todo o final de semana tentando compreender a origem e a extensão do ataque, mas ao retornar ao escritório confirmou o pior cenário possível: todos os sistemas críticos estavam encriptados.
Segundo o responsável técnico, a empresa dependia diretamente desses dados para manter a conformidade legal de seus clientes. A perda de registros de treinamento e certificações tornaria impossível a continuidade das operações, além de gerar riscos contratuais e legais imediatos.
A urgência do caso era evidente desde o primeiro contato.
Avaliação Técnica Inicial
Durante a análise técnica inicial, a equipe da Digital Recovery identificou que o ambiente era composto por uma infraestrutura virtualizada em VMware, diversos arquivos VMDK encriptados pelo ransomware Akira e um NAS utilizado tanto para armazenamento quanto para backups.
O Akira é um ransomware conhecido por adotar estratégias agressivas, incluindo a corrupção deliberada de estruturas de backup, com o objetivo de eliminar alternativas de recuperação e forçar o pagamento do resgate. Esse comportamento aumentava significativamente a complexidade do cenário e reforçava o receio da empresa de não conseguir recuperar seus dados por meios convencionais.
Após a análise detalhada conduzida pelos engenheiros da Digital Recovery, foi possível identificar dois fatores críticos que viabilizaram a recuperação. Os snapshots existentes no NAS continham dados tecnicamente recuperáveis e os headers essenciais dos arquivos VMDK não haviam sido destruídos durante o processo de criptografia.
Com base nessas constatações, foi definida uma estratégia de recuperação em múltiplas camadas. O processo envolveu a reconstrução estrutural dos arquivos VMDK, permitindo restaurar a integridade lógica dos discos virtuais. Em paralelo, os snapshots do NAS foram extraídos diretamente, contornando os mecanismos tradicionais comprometidos pelo ataque.
Na sequência, todos os servidores foram reconstruídos individualmente, com validação completa dos sistemas operacionais, aplicações e serviços. Por fim, as plataformas de treinamento, certificação e toda a documentação de clientes foram restauradas e testadas para garantir consistência, integridade e confiabilidade operacional.
Todo o trabalho foi conduzido com controle técnico e forense rigoroso, garantindo rastreabilidade, segurança e preservação dos dados recuperados.
Resultado Final
O projeto foi concluído com recuperação total do ambiente. Todos os servidores e documentos foram restaurados com sucesso, assim como as plataformas de treinamento e certificação utilizadas pela empresa. Nenhum pagamento de resgate foi necessário e não houve qualquer interrupção relacionada a requisitos de conformidade regulatória ou contratual.
A empresa italiana conseguiu retomar integralmente suas operações, preservando sua continuidade, a confiança de seus clientes e sua reputação no mercado.
Este caso evidencia que, mesmo diante de um ransomware altamente destrutivo como o Akira, uma abordagem técnica especializada, aliada a engenharia avançada de recuperação de dados, pode evitar perdas irreversíveis e eliminar a necessidade de negociação com criminosos.
A Digital Recovery reforça, com este projeto, sua posição como uma empresa especializada em recuperação de ambientes virtualizados encriptados por ransomware, atuando de forma técnica, estratégica e independente, sempre com foco na restauração completa dos dados e na preservação da integridade operacional das empresas afetadas.
