Os criminosos tornam-se totalmente vikings no CloudNordic, apagam todos os servidores e dados dos clientes

A CloudNordic disse aos clientes para considerarem todos os seus dados perdidos após uma infecção de ransomware que criptografou os servidores do grande provedor de nuvem dinamarquês e “paralisou completamente a CloudNordic”, de acordo com a confissão online da empresa de TI.

A intrusão aconteceu nas primeiras horas da manhã de 18 de agosto, durante a qual os malfeitores desligaram todos os sistemas da CloudNordic, apagando os sites e sistemas de e-mail da empresa e dos clientes. Desde então, a equipe de TI e equipes terceirizadas têm trabalhado para restaurar os dados dos apostadores – mas até terça-feira, as coisas não pareciam boas.

Fomos informados de que até os backups foram descartados, assim como os dados de produção. E a CloudNordic não está preparada para pagar um resgate, presumivelmente para restaurar as informações e os sistemas, aos extorsionistas responsáveis ​​pela intrusão.

“Não podemos e não queremos atender às demandas financeiras dos hackers criminosos por resgate”, disse a CloudNordic em um aviso online , traduzido do dinamarquês. 

Infelizmente, revelou-se impossível recriar mais dados e a maioria dos nossos clientes perdeu todos os dados connosco”, continua o alerta. “Isso se aplica a todos que não contatamos neste momento.”

Os autoproclamados “especialistas em nuvem nórdica” disseram ter relatado o ataque à polícia.

E embora nada disso seja uma boa notícia para as organizações que perderam todos os seus sites e dados de e-mail, a CloudNordic oferece uma pequena fresta de esperança: o negócio não acredita que os criminosos tenham exfiltrado qualquer informação antes de criptografar os sistemas. 

“Não vimos nenhuma evidência de violação de dados”, afirmou o provedor de nuvem, acrescentando:

Não vimos que os invasores tiveram acesso ao conteúdo de dados das próprias máquinas, mas a sistemas de administração a partir dos quais poderiam criptografar discos inteiros. Grandes quantidades de dados foram criptografadas e não vimos sinais de que tenham sido tentadas cópias de grandes quantidades de dados.

CloudNordic afirma que sua “melhor estimativa” é que a infecção ocorreu enquanto os servidores eram movidos de um datacenter para outro.

Aparentemente, algumas das máquinas foram infectadas antes da mudança e, durante a transferência, os servidores que estavam em redes separadas foram todos conectados à rede interna da CloudNordic. Isso deu aos invasores acesso aos sistemas administrativos centrais, armazenamento, sistema de backup de replicação e backups secundários, todos os quais eles prontamente criptografaram para extorsão.

A partir de hoje, a CloudNordic disse que está pronta para colocar os servidores web e de e-mail dos clientes – sem dados – novamente online, embora sem DNS no momento. Para restaurar esses serviços, a empresa envia um e-mail para: [email protected] com a palavra RESTORE na linha de assunto. 

No corpo do e-mail, inclua seu endereço de e-mail, número de telefone e domínio, e CloudNordic enviará a você detalhes de login para um novo site e serviço de e-mail.

No entanto, o fornecedor observa que levará “muito tempo” para restaurar todos esses serviços, mesmo sem dados, e como tal incentiva os clientes “criticamente afetados” a encontrar novos fornecedores “para minimizar o seu tempo de inatividade”. 

Ou existe a opção DIY, que é o “método mais rápido para fazer o DNS funcionar novamente para o seu domínio”, disse CloudNordic. Os clientes podem encontrar instruções detalhadas para ambas as opções na notificação de ransomware.