A dán CloudNordic és AzeroCloud tárhelyszolgáltatót üzemeltető cég augusztus 18-án, azaz múlt hét pénteken zsarolóvírus támadást szenvedett el, amelynek következtében sajnálják, de az ügyféladatok totálisan elvesztek. A tárhelyszolgáltató arra kényszerült, hogy leállítsa az összes futó rendszerét, beleértve a weboldalait, a levelezést, valamint az ügyfelek webhelyeit.
A hivatalos közleményben azt írják, a CloudNordic teljességgel megbénult, és az ügyfeleik tekintsék minden adatukat elveszettnek. A helyreállítás rendkívüli nehézségekbe ütközött, mivel a cég informatikai csapatai mindössze csak néhány szervert tudtak visszaállítani.
A bejelentésben az is szerepel, hogy semmiképpen nem fognak váltságdíjat fizetni a bűnözőknek, és az esetről már értesítették a hatóságokat.
A hogyan történt kérdésre látszólag az lehet a válasz, hogy a szerverek egyik adatközpontból a másikba költöztetése során következhetett be az incidens, melynél a támadók a belső hálózaton keresztül egyszerre fértek hozzá a központi adminisztrációs rendszerekhez és a biztonsági mentési rendszerekhez is.
Ez utóbbi tartalmazott többek közt minden tárhely adatot, replikációs és a másodlagos biztonsági mentési rendszert. Mivel a támadóknak sikerült titkosítaniuk az összes szerver lemezét, így minden összeomlott.
"Mélyen sajnáljuk a helyzetet, és köszönjük a sok hűséges ügyfelünknek, akik az évek során velünk voltak." Hát nem ezt a mondatot szeretné az ember hallani, ha előfizet valamilyen netes szolgáltatásra.
Emellett azt a kijelentésüket, miszerint nem láttak bizonyítékot adatszivárgásra, adatlopásra - is érdemes lehet fenntartással fogadni, hiszen magát a behatolást és az incidenst sem vették észre kellő időben, és a "nem láttunk bizonyítékot" valamint a "nem történhetett ilyen" egymással nem ekvivalens állítások.
A dán szolgáltató most az adattartalom nélküli alaprendszerek visszaállításán dolgozik, de egyrészt még ez is rengeteg időbe telik nekik, másrészt az sem megnyugtató, hogy ilyenkor a ransomware újrafertőzés lehetősége az esemény alapos kivizsgálása nélkül komoly kockázati tényező lehet. Az incidens roppant durván hangzik, hiszen azt mutatja, hogy sem a védelem nem működött megfelelően, hiányozhatott a többszörös és fizikailag leválasztott, máshol tárolt biztonsági mentések gyakorlata, valamint a mentésekből való helyreállítás terv - már ha egyáltalán létezett ilyesmi - sem volt letesztelve.
A felhő szlogen csak egy üres bullshit, ha nincs mögötte átgondolt, megtervezett, alapos biztonsági megoldások garmada és szakértő IT biztonsági csapat.
A tárhelyszolgáltatók célzott támadása a ransomware-bandák által egy kedvelt taktika, mivel egyrészt egyetlen akcióval nagyszabású károkat tudnak okozni, másrészt pedig a szolgáltatókon nagy a nyomás, hogy váltságdíjat fizessenek működésük helyreállítása érdekében, hogy ezzel elkerüljék az adataikat elvesztő ügyfelek pereit.
A mostani incidensben érintett felhasználókat már csak az mentheti meg, ha legalább ők maguk rendelkeztek valamilyen saját biztonsági mentéssel. Úgy tűnik, érdemes lehet megfogadni a pórul járt áldozatoknak Mick Jagger tanácsát, miszerint Get Off Of My Cloud, azaz szállj le a felhőmről, és talán jobb lenne egy másik biztonságosabbra átszállni.
