Hostingprovider CloudNordic is het slachtoffer geworden van een erg succesvolle ransomware-aanval, waarbij alle data van klanten verloren zijn gegaan.
Hackers zijn erin geslaagd om de volledige infrastructuur van hostingprovider CloudNordic (en zusterbedrijf AzeroCloud) lam te leggen. Aanvallers konden alle schijven in alle servers versleutelen, inclusief de back-ups. CloudNordic kan en wil het losgeld niet betalen, zodat de meeste klanten al hun gegevens kwijt zijn. Denk bij gegevens aan mailboxen, bedrijfswebsites of zelfs webshops. Honderden voornamelijk Deense bedrijven zijn slachtoffer. De aanvallers vragen zes bitcoin om de data opnieuw vrij te geven, wat het equivalent is van ongeveer één miljoen Deense Kroon of ongeveer 150.000 euro.
Eigen back-ups als enige hoop
De getroffen klanten zijn aangewezen op eigen back-ups die ze hopelijk hebben. Vertrouwden ze exclusief op CloudNordic, dan blijft er van hun gegevens niets meer over. CloudNordic heeft intussen wel de infrastructuur en de servers grotendeels hersteld, maar dan zonder de bijhorende data. Wie een back-up van een website heeft, kan die dus wel terug naar de server verplaatsen en opnieuw beschikbaar maken voor het grote publiek zonder dat daar een website-migratie voor nodig is.
lees ook
In 3-2-1 naar een geslaagde back-upstrategie
De provider geeft klanten intussen tips over hoe ze zo snel mogelijk hun DNS opnieuw werkend kunnen krijgen. CloudNordic en AzeroCloud beseffen de ernst van de aanval en geven meteen ook tips voor gebruikers die willen migreren naar een concurrent.
Unieke samenloop
De verwoestende aanval kon gebeuren door een perfecte samenloop van omstandigheden. Aanvallers hadden een tijd geleden ondanks aanwezige firewall- en antivirusoplossingen al toegang gekregen tot enkele machines. De hackers hebben die toegang op dat moment niet gebruikt om hun aanval al te starten. In de plaats daarvan wachtten ze geduldig af.
Dat loonde de moeite, want CloudNordic moest van datacenter verhuizen. Bij die verhuis werden servers die voordien in een gesegmenteerd netwerk stonden, aangesloten op één groot intern netwerk dat gebruikt wordt voor het beheer van de hele infrastructuur. Op dat moment schoten de hackers terug wakker, en verwierven ze toegang tot het centrale beheers- en back-up-systeem. Van daaruit werden alle data, alle back-ups en alle secundaire back-ups versleuteld.
Doodsvonnis
CloudNordic heeft nog wel een pleister voor op de gapende wonde: er zijn geen indicaties dat aanvallers ooit toegang hebben gekregen tot klantendata zelf. De toegang zat op schijfniveau waar encryptie wel mogelijk was, maar er vond volgens de provider geen exfiltratie van gegevens plaats.
De schade is immens. “Onze klanten kunnen ons niet meer vinden, er is geen bedrijf meer”, zegt één hosting-klant aan een Deense nieuwszender. CloudNordic en AzeroCloud maken zich geen illusies. De aanval betekent hoogstwaarschijnlijk de doodsteek voor de bedrijven. Dat geeft CEO Martin Haslund Johansson zelf aan: “Ik verwacht niet dat er nog een klant zal terugkeren naar ons wanneer dit allemaal voorbij is.”
Back-ups
De succesvolle aanval levert de hackers geen cent op, maar is wel vernietigend voor de provider en diens klanten. Het hack toont aan hoe belangrijk correcte en redundante beveiligingssystemen zijn. Firewalls volstaan niet: kritieke netwerken moeten permanent gemonitord worden op verdachte activiteit.
Verder zijn onwijzigbare back-ups essentieel, waarbij het onmogelijk is om vanuit de beschermde omgeving back-ups aan te passen of te wissen. Dat vereist nieuwe en complexe infrastructuur, waardoor veel ondernemingen nog kwetsbaar zijn. De mogelijke gevolgen worden met deze trieste aanval heel duidelijk.
Als eindklant is er ook een belangrijke les te trekken, die eigenlijk voor alles geld: vertrouw echt kritieke zaken niet toe aan één partij. Neem zelf een back-up van wat heel belangrijk is, zodat je nog mogelijkheden hebt wanneer een partner verdwijnt.