Датските хостинг фирми CloudNordic и AzeroCloud са претърпели атаки с рансъмуер, в резултат на които са загубени повечето данни на клиентите и хостинг доставчиците са принудени да изключат всички системи, включително уебсайтове, електронна поща и клиентски сайтове.

Двете марки принадлежат на една и съща компания и заявиха, че атаката се е развила миналия петък вечерта. Въпреки това днешното оперативно състояние остава силно проблематично, като ИТ екипите на фирмата са успели да възстановят само някои сървъри без никакви данни.

Освен това в изявлението на фирмата се уточнява, че тя няма да плаща откуп на  заплахата и вече е ангажирала експерти по сигурността и е съобщила за инцидента на полицията.

За съжаление процесът на възстановяване на системите и данните не върви гладко и CloudNordic твърди, че много от клиентите ѝ са загубили данни, които изглеждат невъзстановими.

„Тъй като нито можем, нито желаем да изпълним финансовите искания на престъпните хакери за откуп, ИТ екипът на CloudNordic и външни експерти работят интензивно, за да оценят щетите и да определят какво може да бъде възстановено“, се казва в изявлението на CloudNordic “ – се казва в изявление на компанията.

„За съжаление, не беше възможно да се възстановят повече данни и следователно по-голямата част от нашите клиенти са загубили всичките си данни при нас.“

И двете публични съобщения включват инструкции за възстановяване на уебсайтове и услуги от локални резервни копия или архиви на Wayback Machine.

Предвид ситуацията двата доставчика на хостинг услуги по-рано препоръчаха на силно засегнатите клиенти да се преместят към други доставчици, като Powernet и Nordicway.

Удар в точния момент

От изявленията на хостинг компанията стана ясно, че някои от сървърите на фирмата са били заразени с ransomware, въпреки че са били защитени със защитни стени и антивирусни програми.

По време на миграцията на центъра за данни тези сървъри са били свързани към по-широката мрежа, което е позволило на нападателите да получат достъп до критични административни системи, всички силози за съхранение на данни и всички системи за архивиране.

След това нападателите са криптирали всички дискове на сървърите, включително първичните и вторичните резервни копия, като са повредили всичко, без да оставят възможност за възстановяване.

От CloudNordic твърдят, че атаката е била ограничена до криптиране на данни, а събраните доказателства не показват, че е имало достъп до някакви данни на машините или че те са били ексфилтрирани. При това няма доказателства за нарушение на сигурността на данните.

Датските медии съобщават, че атаките са засегнали „няколкостотин датски компании“, които са загубили всичко, което са съхранявали в облака, включително уебсайтове, електронни пощенски кутии, документи и др.

Мартин Хаслунд Йохансон, директор на Azerocloud и CloudNordic, заяви, че не очаква клиентите да останат при тях, когато възстановяването най-накрая приключи.

Насочването към хостинг доставчиците е тактика, използвана от бандите за изнудване в миналото, тъй като причинява мащабни щети и поразява  много жертви при една атака.

Поради броя на жертвите доставчиците биват подложени на голям натиск да платят откуп, за да възстановят дейността си и евентуално да избегнат съдебни дела от клиенти, загубили данните си.

През 2017 г. подобна атака накара южнокорейски доставчик на хостинг услуги да плати искания откуп в размер на 1 млн. долара, за да възстанови данните на своите клиенти.

Неотдавна Rackspace претърпя атака от Play срещу хостваните си услуги Microsoft Exchange, която доведе до прекъсване на електронната поща на много от клиентите.