Danimarkalı barındırma firmaları CloudNordic ve AzeroCloud, müşteri verilerinin çoğunun kaybına neden olan ve barındırma sağlayıcılarını web siteleri, e-posta ve müşteri siteleri dahil tüm sistemleri kapatmaya zorlayan fidye yazılımı saldırılarına maruz kaldı.
İki markanın aynı şirkete ait olduğu ve saldırının geçtiğimiz Cuma gecesi gerçekleştiği belirtildi. Ancak, firmanın BT ekiplerinin herhangi bir veri olmadan yalnızca bazı sunucuları geri yüklemeyi başarması nedeniyle günümüzün operasyonel durumu oldukça sorunlu olmaya devam ediyor.
Üstelik firmanın açıklamasında tehdit aktörlerine fidye ödemeyeceğini, güvenlik uzmanlarıyla temasa geçerek olayı polise bildirdiği belirtiliyor.
Ne yazık ki sistem ve veri geri yükleme süreci sorunsuz ilerlemiyor ve CloudNordic, müşterilerinin çoğunun kurtarılamaz gibi görünen verilerini kaybettiğini söylüyor.
CloudNordic’in açıklamasında şöyle yazıyor: “Suçlu bilgisayar korsanlarının fidye için mali taleplerini ne karşılayabildiğimiz ne de karşılamak istediğimiz için, CloudNordic’in BT ekibi ve dış uzmanlar hasarı değerlendirmek ve nelerin kurtarılabileceğini belirlemek için yoğun bir şekilde çalışıyorlar.”
“Ne yazık ki daha fazla veriyi kurtarmak mümkün olmadı ve sonuç olarak müşterilerimizin çoğunluğu bizimle olan tüm verilerini kaybetti.”
Her iki genel bildirim de web sitelerinin ve hizmetlerin yerel yedeklemelerden veya Wayback Machine arşivlerinden kurtarılmasına ilişkin talimatlar içerir.
Durum göz önüne alındığında, iki barındırma hizmeti sağlayıcısı daha önce ağır etkilenen müşterilerin Powernet ve Nordicway gibi diğer sağlayıcılara geçmesini önerdi.
Doğru anda vurmak
Barındırma şirketinin açıklamaları, firmanın bazı sunucularının güvenlik duvarları ve antivirüs tarafından korunmasına rağmen fidye yazılımından etkilendiğini ortaya çıkardı.
Veri merkezi geçişi sırasında bu sunucular daha geniş bir ağa bağlanarak saldırganların kritik yönetim sistemlerine, tüm veri depolama silolarına ve tüm yedekleme sistemlerine erişmesine olanak tanındı.
Daha sonra saldırganlar, birincil ve ikincil yedeklemeler de dahil olmak üzere tüm sunucu disklerini şifreleyerek, kurtarma fırsatı bırakmadan her şeyi bozdu.
CloudNordic, saldırının verileri şifrelemekle sınırlı olduğunu ve toplanan kanıtların makinelerdeki herhangi bir veriye erişildiğini veya sızdırıldığını göstermediğini söylüyor. Bununla birlikte, veri ihlaline dair hiçbir kanıt yoktur.
Danimarka medyası, saldırıların web siteleri, e-posta gelen kutuları, belgeler vb. dahil olmak üzere bulutta depoladıkları her şeyi kaybeden “birkaç yüz Danimarka şirketini” etkilediğini bildirdi.
Azerocloud ve CloudNordic’in yöneticisi Martin Haslund Johansson, kurtarma işlemi nihayet tamamlandığında müşterilerin kendileriyle kalmasını beklemediğini belirtti.
Barındırma sağlayıcılarını hedeflemek, büyük ölçekli hasara neden olması ve tek bir saldırıda çok sayıda kurban oluşturması nedeniyle geçmişte fidye yazılımı çeteleri tarafından kullanılan bir taktikti.
Kurbanların sayısı nedeniyle sağlayıcılar, operasyonlarını yeniden başlatmak ve muhtemelen verilerini kaybeden müşterilerin açacağı davalardan kaçınmak için fidye ödeme konusunda büyük bir baskı altında kalacak.
2017’de benzer bir saldırı, Güney Koreli bir barındırma sağlayıcısının, müşterilerinin verilerini kurtarmak için 1 milyon dolarlık fidye yazılımı talebi ödemesine yol açtı.
Yakın zamanda Rackspace, barındırılan Microsoft Exchange hizmetlerine yönelik bir Play fidye yazılımı saldırısına maruz kaldı ve bu da birçok müşterisinin e-postalarının kesintiye uğramasına neden oldu.