Non è chiara una cosa: tu dici che ha trovato il percorso del database dal codice ASP. Mi sembra quindi di capire che il database non è accessibile da FTP. Se fosse così, per modificarlo avrebbe dovuto penetrare il sistema, quindi ci sarebbero altri LOG da analizzare.

Nei log del servizio FTP di IIS basta rilevare l'IP di uno di questi accessi "sospetti". Poi contatti l'azienda in questione, che troverà le corrispondenze nei suoi log e prenderà le opportune misure riguardo al dipendente.
E tutto senza passare per denunce e avvocati.

Se invece l'IP è stato "mascherato", non puoi essere sicuro che l'attacco sia partito da quella società.