デンマークのホスティング会社 CloudNordic と AzeroCloud はランサムウェア攻撃を受け、顧客データの大部分が失われ、ホスティングプロバイダーは Web サイト、電子メール、顧客サイトを含むすべてのシステムのシャットダウンを余儀なくされました。
両ブランドは同じ会社に属しており、攻撃は先週金曜日の夜に発生したと述べた。しかし、今日の運用状況には依然として大きな問題があり、同社の IT チームはデータのない一部のサーバーを復元することに成功しただけです。
さらに、同社の声明は、脅威アクターに身代金を支払わないこと、およびすでにセキュリティ専門家と協力し、事件を警察に報告したことを明らかにしている。
残念ながら、システムとデータの復元プロセスはスムーズに進んでおらず、CloudNordic によれば、多くの顧客が回復不可能と思われるデータを失っているという。
CloudNordicの声明には「身代金を求める犯罪的ハッカーの金銭的要求には応じられないし、応じたくないため、CloudNordicのITチームと外部専門家は被害を評価し、何を回復できるかを判断するために集中的に取り組んでいる」と書かれている(機械翻訳)。
「残念ながら、これ以上のデータを回復することは不可能であり、その結果、当社の顧客の大部分は当社のデータをすべて失ってしまいました。」
どちらの公告にも、ローカル バックアップまたはウェイバック マシン アーカイブから Web サイトとサービスを回復する手順が含まれています。
この状況を踏まえ、ホスティング サービス プロバイダー 2 社は以前、大きな影響を受ける顧客に対して Powernet や Nordicway などの他のプロバイダーに移行することを推奨していました。
適切なタイミングで打つ
ホスティング会社の声明では、同社のサーバーの一部がファイアウォールやウイルス対策で保護されていたにもかかわらず、ランサムウェアに感染していたことが明らかになった。
データセンターの移行中、これらのサーバーはより広範なネットワークに接続され、攻撃者が重要な管理システム、すべてのデータ ストレージ サイロ、およびすべてのバックアップ システムにアクセスできるようになりました。
次に、攻撃者はプライマリ バックアップとセカンダリ バックアップを含むすべてのサーバー ディスクを暗号化し、回復の機会を残さずにすべてを破壊しました。
CloudNordicは、攻撃はデータの暗号化に限定されており、収集された証拠はマシン上のデータがアクセスされたり、流出したりしたことを示していない、と述べている。とはいえ、データ侵害の証拠はありません。
デンマークのメディアは、この攻撃により「数百のデンマーク企業」が影響を受け、ウェブサイト、電子メールの受信箱、文書など、クラウドに保存していたすべてのものを失ったと報じている。
Azerocloud と CloudNordic のディレクターである Martin Haslund Johansson 氏は、最終的に復旧が完了したときに顧客が手元に残されるとは予想していないと述べました。
ホスティングプロバイダーを標的にすることは、一度の攻撃で大規模な被害を引き起こし、多くの被害者を生み出すため、ランサムウェアギャングが過去に使用した戦術です。
被害者の数により、プロバイダーは業務を回復し、データを失った顧客からの訴訟を回避するために身代金を支払うという多大なプレッシャーにさらされることになる。
2017 年にも同様の攻撃により、韓国のホスティング プロバイダーは顧客のデータを回復するためにランサムウェアに要求された 100 万ドルを支払うことになりました。
最近では、 Rackspace は、ホストされている Microsoft Exchange サービスに対して Play ランサムウェア攻撃を受け、多くの顧客で電子メールが停止する事態に陥りました。
Comments