ransomware

Las empresas de alojamiento danesas CloudNordic y AzeroCloud han sufrido ataques de ransomware, causando la pérdida de la mayoría de los datos de los clientes y obligando a los proveedores de alojamiento a cerrar todos los sistemas, incluidos los sitios web, el correo electrónico y los sitios de los clientes.

Las dos marcas pertenecen a la misma compañía y declararon que el ataque se desarrolló el viernes pasado por la noche. Sin embargo, el estado operativo actual sigue siendo muy problemático, ya que los equipos de TI de la empresa solo logran restaurar algunos servidores sin ningún dato.

Además, la declaración de la firma aclara que no pagará un rescate a los actores de amenazas y ya se ha comprometido con expertos en seguridad e informó el incidente a la policía.

Desafortunadamente, el sistema y el proceso de restauración de datos no va bien, y CloudNordic dice que muchos de sus clientes han perdido datos que parecen irrecuperables.

«Dado que no podemos ni deseamos satisfacer las demandas financieras de los hackers criminales por un rescate, el equipo de TI de CloudNordic y expertos externos han estado trabajando intensamente para evaluar el daño y determinar qué podría recuperarse», se lee en la declaración de CloudNordic.

«Lamentablemente, ha sido imposible recuperar más datos y, en consecuencia, la mayoría de nuestros clientes han perdido todos sus datos con nosotros».

Ambos avisos públicos incluyen instrucciones sobre cómo recuperar sitios web y servicios de copias de seguridad locales o archivos de Wayback Machine.

Dada la situación, los dos proveedores de servicios de alojamiento recomendaron previamente que los clientes más afectados se mudaran a otros proveedores, como Powernet y Nordicway.

Golpear en el momento adecuado.

Las declaraciones de la empresa de alojamiento revelaron que algunos de los servidores de la empresa habían sido infectados por ransomware a pesar de estar protegidos por firewalls y antivirus.

Durante una migración del centro de datos, esos servidores se conectaron a la red más amplia, lo que permitió a los atacantes acceder a sistemas administrativos críticos, todos los silos de almacenamiento de datos y todos los sistemas de respaldo.

A continuación, los atacantes cifraron todos los discos del servidor, incluidas las copias de seguridad primarias y secundarias, corrompiendo todo sin dejar una oportunidad de recuperación.

CloudNordic dice que el ataque se limitó a cifrar datos, y la evidencia recopilada no indica que se haya accedido o exfiltrado ningún dato en las máquinas. Dicho esto, no hay evidencia de una violación de datos.

Los medios daneses informan que los ataques han afectado a «varios cientos de empresas danesas» que perdieron todo lo que almacenaban en la nube, incluidos sitios web, bandejas de entrada de correo electrónico, documentos, etc.

Martin Haslund Johansson, director de Azerocloud y CloudNordic, declaró que no espera que los clientes se queden con ellos cuando finalmente se complete la recuperación.

Apuntar a los proveedores de alojamiento es una táctica utilizada por las bandas de ransomware en el pasado, ya que causa daños a gran escala y crea muchas víctimas en un solo ataque.

Debido al número de víctimas, los proveedores estarán bajo mucha presión para pagar un rescate para restaurar sus operaciones y potencialmente evitar demandas de clientes que perdieron sus datos.

En 2017, un ataque similar llevó a un proveedor de alojamiento de Corea del Sur a pagar una demanda de ransomware de $ 1 millón para recuperar los datos de sus clientes.

Más recientemente, Rackspace sufrió un ataque de ransomware Play en sus servicios alojados de Microsoft Exchange que provocó interrupciones de correo electrónico para muchos de sus clientes.

Fuente y redacción: underc0de.org

Compartir