本文来自微信公众号“安全内参”,由安全内参编译。
攻击者抹去了CloudNordic公司所有服务器和客户数据,该公司表示,不能也不愿支付赎金。
前情回顾·全球数据威胁态势
●房源数据服务商遭勒索软件攻击,美国房地产市场陷入混乱
●印度CoWIN疫苗平台暴露公民数据,10亿人面临个人信息泄露风险
●存储巨头西部数据遭入侵:多个内部系统被访问,My Cloud网盘服务中断
●地缘政治引爆网络战!乌克兰多个政府系统又遭数据擦除“恐怖”袭击
安全内参8月28日消息,丹麦大型云服务提供商CloudNordic发表在线声明,宣布服务器遭勒索软件加密,导致所有客户数据丢失,公司陷入“彻底瘫痪”。
入侵发生在8月18日凌晨。恶意分子关闭了CloudNordic的所有系统,抹去了公司和客户的网站和电子邮件系统。自那时起,信息技术团队和第三方应急响应人员一直在努力恢复客户数据,但截至上周二,情况并不容乐观。
记者获悉,就连备份数据和生产数据也被抹除。而CloudNordic不打算向发动入侵的勒索分子支付恢复信息和系统赎金。
CloudNordic用丹麦语发表了一份在线通知,表示:“我们不能也不愿满足犯罪黑客的金融要求。不幸的是,我们已经无法重新创建更多数据,因此我们大部分客户(包括我们尚未来得及联系的客户)都丢失了所有数据。”
这家自称为“北欧云专家”的公司表示,他们已向警方报案。
这些对于已经失去了所有网站和电子邮件数据的组织来说都不是好消息。但是,CloudNordic也提供了一线希望:他们认为,这些罪犯在加密系统之前并没有窃取任何信息。
这家云服务提供商声称,“我们没有发现任何数据泄漏的证据……我们并未发现攻击者访问了机器本身的数据内容,但他们访问了可以对整个磁盘进行加密的管理系统。虽然海量的数据遭到加密,并没有迹象表明大量数据被复制出去。”
CloudNordic表示,“最可能的情况”是服务器从一个数据中心迁移到另一个数据中心的过程中受到了感染。迁移之前,一些机器显然已被感染。在迁移过程中,此前连接到不同网络的服务器都连接到了CloudNordic内部网络。这给了入侵者可乘之机。他们得以访问中央管理系统、存储、复制备份系统和二级备份,并迅速加密这些系统,进行勒索。
截至今日,CloudNordic表示,尽管目前没有域名系统(DNS),公司已经做好准备,让客户网站和电子邮件服务器(不含数据)恢复上线。为了恢复这些服务,公司要求客户发送电子邮件至:support azero.dk,并邮件主题中写上“RESTORE”(恢复)一词。客户需在邮件正文给出电子邮件地址、电话号码和域名。CloudNordic将回复新网站和电子邮件服务的登录详细信息。
然而,CloudNordic指出,即使没有数据,恢复所有服务也需要“大量的时间”,所以他们鼓励“受到严重影响”的客户寻找新的提供商,“尽量缩短停机时间”。CloudNordic还提供了一种DIY选项,即所谓让“客户域DNS恢复正常工作的最快方法”。客户可以在勒索软件攻击通知中找到两种选项的详细说明。
