Bölgesel lojistik firmasında ESXi vCenter Akira ransomware · 47 VM · 5 günde %94 veri
8 ilde faaliyet gösteren bölgesel lojistik firmasının VMware vCenter'ı 04:17'de Akira variant ile şifrelendi. 47 VM (ERP, depo yönetim, sürücü tablet, dosya sunucu) etkilendi, NAS replica zaten 4 saat önce şifrelenmişti. Talep 320K USD bitcoin. DSET hibrit kurtarma (tape + LFE + log replay) ile 5 günde %94 veri restore edildi, fidye ödenmedi.
01 Karşılaşılan Durum
Sabah 04:17'de nöbetçi mühendis 'tüm VM'ler down, .akira uzantısı' diye aradı. ESXi 6.7 yamasız, CVE-2021-21974 OpenSLP üzerinden saldırgan girmişti. NAS replica replikasyon zinciri nedeniyle yedekler de şifrelenmişti. Operasyon dakikada 300 € kayıp, OEM kontrat cezaları riskte. 12.400 müşteri kargo gecikmesi etkilendi.
02 DSET'in Yaklaşımı
T+0 · Containment
ESXi host'lar güç düğmesinden kapatıldı (saldırgan kesildi). Forensic imaj alındı. 12 VM'in kısmen şifresiz olduğu (LFE recovery şansı) tespit edildi.
T+8h · DSET sahada
DSET veri kurtarma + olay müdahale ekibi sahada. Tape backup 6 gün önceki temiz versiyon hazır. SQL log replay için transaction logları mevcut.
T+24h · Hibrit kurtarma
Üç kanal paralel: (a) tape restore, (b) LFE (Last File Encryption) recovery, (c) SQL transaction log replay. ERP veritabanı ilk öncelik.
T+72h · İlk operasyon dönüşü
ERP + depo yönetim sistemleri çalışıyor. Sürücü tabletler güncel rota planları ile aktif. Müşteri kargo durumu sistemine geri.