Bűnözők tönkretették a CloudNordic dán felhőszolgáltatót

A CloudNordic közölte az ügyfelekkel, hogy tekintsék elveszettnek az összes adatukat egy zsarolóvírus-fertőzést követően, amely titkosította a dán felhőszolgáltató szerverein lévő állományokat - áll az informatikai cég közleményében.

A behatolás augusztus 18-án a kora reggeli órákban történt, amelynek során a támadók leállították a CloudNordic összes rendszerét, és letörölték mind a vállalat, mind az ügyfelek weboldalát és e-mail rendszerét. Azóta a cég IT-csapata és külső szakértők azon dolgoznak, hogy helyreállítsák az adatokat, de nem állnak jól: még a biztonsági mentések is megsemmisültek, csakúgy, mint az aktuális adatok. A CloudNordic pedig nem hajlandó váltságdíjat fizetni az információk és a rendszerek helyreállításáért a behatolásért felelős zsarolóknak. Az Azero cég honlapján található azonos tartalmú közlemény szerint az ő ügyfeleik is érintettek. A CloudNordic és az Azero a dániai bejegyzésű Certiqa Holding tulajdonában van.

Mindkét tárhelyszolgáltató céget Martin Haslund Johansson vezeti. A dán Radio4 rádiónak adott interjúban kifejtette, hogy "dühös és szomorú" a támadás miatt, és hogy nem számít arra, hogy "egyetlen ügyfelük is maradna. Johansson kifejtette, hogy a vállalat mindent megtesz ügyfeleinek segítésére. A betörés által érintett egyik cég, az 5610eu igazgatója a dán rádióállomásnak azt mondta, hogy a következmények egyelőre "kezelhetetlenek". "Az ügyfeleink már nem találnak meg minket" - mondta Per Jakobsen" a Radio4-nek.

"Nem tudjuk és nem is akarjuk teljesíteni a bűnöző hackerek váltságdíjra vonatkozó pénzügyi követeléseit" - áll a CloudNordic honlapján. "Sajnos az adatok újrateremtése lehetetlennek bizonyult, és ügyfeleink többsége így minden adatát elvesztette nálunk" - folytatódik a figyelmeztetés. "Ez mindenkire vonatkozik, akivel jelenleg nem vettük fel a kapcsolatot". A saját magát "északi felhőszakértőknek" nevező cég közölte, hogy jelentették a támadást a rendőrségnek. Egyetlen zsarolóvírus csoport sem ismerte el nyilvánosan vagy vállalta magára a kibertámadást.

És bár mindez nem jó hír azoknak a szervezeteknek, amelyek mostanra elvesztették az összes weboldaluk és e-mail adataikat, a CloudNordic mégis kínál egy kis pozitívumot: a cég nem hiszi, hogy a bűnözők bármilyen információt kiszivárogtattak volna a rendszerek titkosítása előtt. "Nem találtunk bizonyítékot az adatok megsértésére" - állította a felhőszolgáltató, hozzátéve: "Nem láttuk, hogy a támadók hozzáférhettek volna a gépek adattartalmához vagy az adminisztrációs rendszerekhez. Nagyon nagy mennyiségű adatot titkosítottak, de nem láttunk arra utaló jeleket, hogy adatokat próbáltak volna meg kimásolni."

A CloudNordic szerint "legjobb becslése" szerint a fertőzés akkor történt, amikor a szervereket egyik adatközpontból a másikba költöztették. A gépek egy része nyilvánvalóan már a költözés előtt is fertőzött volt, és a költözés során a korábban különálló hálózatokon lévő szerverek mind a CloudNordic belső hálózatához csatlakoztak. Ezáltal a behatolók hozzáférhettek mind a központi adminisztrációs rendszerekhez, mind a tárolókhoz, a replikációs biztonsági rendszerhez és a másodlagos biztonsági mentésekhez, amelyeket zsarolás céljából azonnal titkosítottak.

A CloudNordic közölte, hogy készen áll arra, hogy az ügyfelek web- és e-mail szervereit - az adatok nélkül - újra üzembe helyezze, bár egyelőre DNS nélkül. A szolgáltató azonban megjegyzi, hogy az összes szolgáltatás helyreállítása "hatalmas mennyiségű időt" vesz igénybe, még adatok nélkül is, ezért arra ösztönzi a "kritikusan érintett" ügyfeleket, hogy keressenek új szolgáltatót, "hogy minimalizálják az állásidőt". A CloudNordic szerint mindazonáltal a saját kézbe vétel "a leggyorsabb módszer arra, hogy a DNS újra működjön a domainje számára". Az ügyfelek mindkét lehetőséghez részletes utasításokat találnak a zsarolóvírusról szóló értesítésben.