Ransomware-Angriff auf CloudNordic legt Unternehmen und 97% seiner Kunden lahm…!
Am Freitag, den 18. August 2023, wurde CloudNordic, ein führender Anbieter von Cloud-Diensten in den skandinavischen Ländern, Opfer eines schweren Ransomware-Angriffs. Die Hacker übernahmen die Kontrolle über alle Systeme, was zu erheblichen Ausfallzeiten und Datenverlusten sowohl für das Unternehmen als auch für seine Kunden führte.
Der Angriff wurde nachts um 04:00 Uhr entdeckt und seitdem arbeiten die IT-Experten von CloudNordic intensiv daran, die Kontrolle zurückzugewinnen. Leider war es nicht möglich, die verlorenen Daten wiederherzustellen, was bedeutet, dass die Mehrheit der Kunden alle bei CloudNordic gespeicherten Daten verloren hat !!!
An die Öffentlichkeit gelang dieser schwere Angriff, und seine eklatanten Folgen, erst ab dem 23.08.2023!
Erste Schätzungen gehen von 97% aller Kundendaten aus (inkl. Account-Daten, Zahlungsdaten, Emails, Firmenstrukturen etc. pp.)
Bis zum jetzigen Zeitpunkt sind unsere internen und externen Systeme immer noch Offline und befinden sich im Wiederaufbau (normale Recoverys sind unter diesen Bedingungen absolut nicht möglich!)!
Für Kunden von CloudNordic wurde diese Stellungnahme veröffentlicht:
Leider wurde CloudNordic in der Nacht vom Freitag, den 18.08.2023 um 04:00 Uhr einem Ransomware-Angriff ausgesetzt, bei dem kriminelle Hacker alle Systeme lahmlegten. Websites, E-Mail-Systeme, Kundensysteme, Websites unserer Kunden usw. Alles. Ein Einbruch, der CloudNordic völlig lahmgelegt hat und der auch unsere Kunden hart trifft.
Da wir den finanziellen Lösegeldforderungen der kriminellen Hacker nicht nachkommen können und wollen, haben das IT-Team von CloudNordic und externe Experten mit Hochdruck daran gearbeitet, einen Überblick über den Schaden und die Wiederherstellungsmöglichkeit zu bekommen.
Leider war es nicht möglich, weitere Daten wiederherzustellen, und der Großteil unserer Kunden hat somit sämtliche Daten bei uns verloren. Dies gilt für alle, die wir zu diesem Zeitpunkt noch nicht kontaktiert haben.
Der Hackerangriff wurde der Polizei gemeldet.
Status:
Wir sind zutiefst betroffen von der Situation und sind uns bewusst, dass der Angriff auch für viele unserer Kunden von großer Bedeutung ist. Zusätzlich zu den Daten haben wir auch alle unsere Systeme und Server verloren und hatten Schwierigkeiten bei der Kommunikation. Mittlerweile haben wir Blankosysteme wieder etabliert, z.B. Nameserver (ohne Daten), Webserver (ohne Daten) und Mailserver (ohne Daten).
Holen Sie sich Hilfe, um weiterzumachen:
Wir sind bereit, Kunden auf denselben Nameservern mit DNS-Verwaltungsschnittstelle sowie auf neuen Webservern (ohne Daten) und Mailservern (ohne Daten) wiederherzustellen, damit Kunden die Möglichkeit haben, E-Mails und das Web wieder zum Laufen zu bringen. ohne die Domain zu verschieben. Schreiben Sie an support@azero.dk mit dem Wort RESTORE in der Betreffzeile. Geben Sie in die E-Mail Ihre E-Mail-Adresse und Telefonnummer sowie die Domain ein. Anschließend erhalten Sie einen Login für eine neue Website und E-Mail-Lösung, wo Sie die Website selbst hochladen und E-Mail-Adressen erstellen können.
Selbsthilfe bei Notfällen:
Bezüglich Domänen, bei denen Sie eine schnelle DNS-Verwaltung benötigen:
Dies ist die schnellste Methode, um DNS für Ihre Domain wieder zum Laufen zu bringen.
-
Wir haben alle Name-Service-Server wiederhergestellt, verfügen jedoch nicht über Ihre DNS-Zone. Ein Großteil der Zone kann oft von https://securitytrails.com/list/keyword > your-domain.xx > Subdomains kopiert werden (sehr technisch).
-
Wenn Sie uns unter support@azero.dk kontaktieren und wie unten beschrieben als Eigentümer verifiziert werden (per E-Mail oder Telefon), können Sie uns bitten, erneut bei unserem Namensdienst erstellt zu werden, auf den die Domains weiterhin verweisen. Anschließend erhalten Sie Zugriff auf ein Self-Service-DNS-Tool (PowerDNS-Admin). wo Sie einen der folgenden Schritte ausführen können:
Erstellen Sie die DNS-Zone so, wie Sie wissen, dass sie sein sollte.
Zonenelemente aus Securitytrails kopieren (siehe oben).
Bezüglich der Domains, die Sie verschieben möchten:
-
Beachten Sie, dass die Übertragung einer Domain Tage dauern kann. Wenn Sie DNS also schneller wieder verwenden möchten, können Sie zuerst die oben stehende Option verwenden und dann möglicherweise Verschieben Sie die Domain anschließend.
-
Für .dk-Domains können Sie einen neuen Webspace bei einem anderen Anbieter bestellen und haben über punktum.dk selbst die Möglichkeit, den Transfer der Domain zu einem neuen Anbieter zu genehmigen.
-
Bei .com-Domains müssen Sie die Domain zusätzlich bei einem neuen Anbieter bestellen und dann einen Autorisierungscode von CloudNordic (Authentifizierungscode) verwenden, hier bitten wir Sie, uns unter support@cloudnordic.com zu kontaktieren . Bitte beachten Sie, dass wir uns in einer sehr schwierigen Situation befinden, da wir nicht mit allen Anfragen Schritt halten können. Bitte helfen Sie uns, dies so schnell und effizient wie möglich zu erledigen. Wir müssen sicherstellen, dass wir Authentifizierungscodes nur an den Eigentümer der Domain senden, und wir können:
Senden Sie es an die E-Mail-Adresse, die mit dem Registranten (Inhaber) der Domain verknüpft ist.
Rufen Sie Sie unter der Telefonnummer an, die mit dem Registranten (Inhaber) der Domain verbunden ist, und teilen Sie ihm mündlich den Code mit. Wir können Ihnen KEINEN Authentisierungscode geben, indem Sie uns anrufen, sondern nur, indem Sie die entsprechende Nummer anrufen. Sie müssen sich daher an support@cloudnordic.com wenden und uns bitten, Sie anzurufen.
Wenn wir Sie nicht per E-Mail oder Telefon erreichen können, wird der Vorgang noch zeitaufwändiger und landet ganz hinten in der Aufgabenwarteschlange. Wir werden natürlich versuchen, die Aufgabe umzusetzen, zum Zeitpunkt können wir zum jetzigen Zeitpunkt jedoch noch nichts sagen. Das tut uns sehr leid.
Kontaktieren Sie direkt unseren Anbieter von .com-Domains. Es ist Ascio und Sie können unter help@ascio.com kontaktiert werden .
Für alle anderen Domänen gelten andere Regeln. Wir haben alle Domains außer .dk beim Anbieter Ascio, daher gehen Sie genauso vor wie bei .com. Bei einigen muss ein Authentifizierungscode verwendet werden, bei anderen ist dies nicht erforderlich.
Vorschläge zur Nachbildung eigener Websites:
Eigenes lokales Backup
Kopien von Wayback – https://web.archive.org/
Vorgeschlagene E-Mail-Recovery:
Wenn Sie E-Mails von einem Anbieter wiederherstellen lassen und alle Ihre alten E-Mails in einem E-Mail-Client (Outlook, Apple Mail und dergleichen) auf Ihrem eigenen Computer gespeichert haben, sollten Sie unbedingt ein neues E-Mail-Konto für das neue E-Mail-Konto erstellen auf Ihrem Kunden. Anschließend können Sie E-Mails an das neue E-Mail-Konto in Ihrem Client übertragen.
Wenn Sie stattdessen Informationen in einem bestehenden Konto in Ihrem E-Mail-Client korrigieren, löscht Ihr E-Mail-Client alle E-Mails. Danach können Sie E-Mails nur dann zurückerhalten, wenn Sie zunächst Ihren E-Mail-Client von vor der Änderung wiederherstellen, dann ein neues E-Mail-Konto einrichten und die E-Mails dann manuell verschieben. Auf einem Mac können Sie das integrierte Time Machine- Programm verwenden.
Was ist passiert?
Nach unserer besten Schätzung waren einige der Maschinen bereits vor dem Umzug infiziert, als Server von einem Rechenzentrum in ein anderes verschoben werden mussten, und obwohl die zu verschiebenden Maschinen sowohl durch eine Firewall als auch durch ein Antivirenprogramm geschützt waren wurde im vorherigen Rechenzentrum nicht aktiv genutzt und wir hatten keine Kenntnis davon, dass eine Infektion vorliegt.
Während des Umzugs von Servern von einem Rechenzentrum in ein anderes wurden Server, die sich zuvor in separaten Netzwerken befanden, leider verkabelt, um auf unser internes Netzwerk zuzugreifen, das zur Verwaltung aller unserer Server dient.
Über das interne Netzwerk verschafften sich die Angreifer Zugang zu zentralen Verwaltungssystemen und den Backup-Systemen.
Über das Backup-System gelang es den Angreifern, sich Zugriff zu verschaffen auf:
-
Al-Speicher (Daten)
-
Replikations Backup-System
-
Sekundäres Backup-System
Den Angreifern gelang es, die Festplatten aller Server sowie das primäre und sekundäre Backup-System zu verschlüsseln, wodurch alle Maschinen abstürzten und wir den Zugriff auf alle Daten verloren.
Wahrscheinlich keine Datenschutzverletzungen?!?
Der Angriff erfolgte durch die Verschlüsselung aller Festplatten für alle virtuellen Maschinen, und wir haben keine Hinweise auf eine Datenpanne gesehen. Wir haben gesehen, dass die Angreifer keinen Zugriff auf den Dateninhalt der Maschinen selbst hatten, sondern auf Verwaltungssysteme, von denen aus sie ganze Festplatten verschlüsseln konnten. Sehr große Datenmengen wurden verschlüsselt, und wir haben keine Anzeichen dafür gesehen, dass versucht wurde, große Datenmengen herauszukopieren.
Allerdings können wir dafür KEINE Garantie übernehmen, bis die Ermittlungen der Experten und der Behörden abgeschlossen sind! Sehr wahrscheinlich erfolgte der Angriff parallel über mehrere Einfalls-Vektoren!!
Wir bedauern die Situation zutiefst und danken den vielen treuen Kunden, die uns seit Jahren begleiten.
Aufrichtig
CloudNordic