Dansk hosting-firmaer ramt af alvorligt ransomware-angreb

Virkeligt uheldigt, men nogle har tabt bolden her et eller andet sted.

Her er et udklip af hvad der står på https://azero.cloud/ nu. Siden er er PT lavet i meget simple HTML.



Til kunder i Azero
▔▔▔▔▔▔▔▔▔▔
Azero har desværre i løbet af natten til fredag den 18-8-2023 klokken 04 været udsat for et ransomware angreb, hvor kriminelle hackere har lagt alle systemer ned. Hjemmesider, e-mail-systemer, kundesystemer, vores kunders hjemmesider mm. Alt. Et indbrud der har lammet Azero fuldstændigt, og som også rammer vores kunder hårdt.

Idet vi ikke kan og ej heller ønsker at imødekomme de kriminelle hackeres økonomiske krav om løsesum, har Azero's IT hold og eksterne eksperter arbejdet på højtryk på at få overblik over skaderne, og over hvad det var muligt at genskabe.

Det har desværre vist sig umuligt at genskabe mere data, og størstedelen af vores kunder har dermed mistet alt data hos os. Det gælder alle vi på nuværende tidspunkt ikke har kontaktet.

Hackingangrebet er meldt til politiet.

Hvad skete der?
▔▔▔▔▔▔▔▔
Det er vores bedste vurdering, at da servere skulle flyttes fra et datacenter til et andet og på trods af at maskinerne der blev flyttet var beskyttet af både firewall og antivirus, så var nogle af maskinerne inficeret inden flytningen, med en inficering der ikke havde været brugt aktivt i det tidligere datacenter, og vi havde ikke viden om at der var en inficering.

Under arbejdet med at flytte servere fra det ene datacenter til det andet datacenter, blev servere der tidligere var på separate netværk, beklageligvis kablet sådan at de fik adgang til vores interne netværk, der bruges til administration af alle vores servere.

Via det interne netværk, fik angriberne adgang til helt centrale administrationssystemer og backupsystemerne.

Via backupsystemet, lykkedes det angriberne at få adgang til:

• Al storage (data)
• Replikations backupsystem
• Sekundært backupsystem

Det lykkedes angriberne at lave en kryptering af alle serveres diske, samt på primært og sekundært backupsystem, hvorved alle maskiner gik ned og vi mistede adgang til alt data.

Ingen databrud
▔▔▔▔▔▔▔▔
Angrebet skete ved at alle diske til alle virtuelle maskiner blev krypteret, og vi har ikke set nogen tegn på databrud. Vi har ikke set angriberne har haft adgang til selve maskinernes indhold af data, men til administrationssystemer, hvorfra de kunne kryptere hele diske. Det var meget store mængder data der blev krypteret, og vi har ikke set tegn på at større mængder data er forsøgt kopieret ud.

CableCat (2) skrev:

Ingen databrud
▔▔▔▔▔▔▔▔
Angrebet skete ved at alle diske til alle virtuelle maskiner blev krypteret, og vi har ikke set nogen tegn på databrud. Vi har ikke set angriberne har haft adgang til selve maskinernes indhold af data, men til administrationssystemer, hvorfra de kunne kryptere hele diske. Det var meget store mængder data der blev krypteret, og vi har ikke set tegn på at større mængder data er forsøgt kopieret ud.

Jeg tror at en vigtig del af den tekst er "vi har ikke set nogen tegn".

At man ikke har set nogen tegn på noget er ikke det samme som at det ikke er sket.

Når black hats kan kryptere data har de adgang til data. Og medmindre man logger al udgående trafik for hele data centeret, så ved man ikke om data er kommet ud.

Kunderne bør være opmærksomme på muligheden. Selvom det kun er 1% eller 0.1% sandsynlighed for at data er lækket, så kan man ikke bare ignorere muligheden.

Kunne man tænke sig at hackerne via administrationssystemer har sat harddisk password for drevene?

SSDer gemmer altid data krypteret. Hvis man ikke har sat et harddisk password ligger nøglen i klartekst klar til brug. Sætter man et password bliver nøglen krypteret og vupti, drevets data er utilgængeligt uden at kende password, på et splitsekund.

Jeg ved ikke om dette også gælder for spinning rust.

Alternativt skulle et "batch job" have kravlet al data igennem og det vil nok tage en pæn sjat tid med data-center mængder af data, og mon ikke nogen ville have anet mistanke før sådan et job blev færdigt.

larsp (4) skrev:

Kunne man tænke sig at hackerne via administrationssystemer har sat harddisk password for drevene?

SSDer gemmer altid data krypteret. Hvis man ikke har sat et harddisk password ligger nøglen i klartekst klar til brug. Sætter man et password bliver nøglen krypteret og vupti, drevets data er utilgængeligt uden at kende password, på et splitsekund.

Måske - det var ihvertfald en nem måde for angriberne at gøre det på.

larsp (4) skrev:

Alternativt skulle et "batch job" have kravlet al data igennem og det vil nok tage en pæn sjat tid med data-center mængder af data, og mon ikke nogen ville have anet mistanke før sådan et job blev færdigt.

Det tager tid at kryptere alt data på en flok TB diske.

Men det vil ikke tage lang tid at kryptere fil systemets meta filer og forskellige filer.

Og det er vel nok til at gøre disken ubrugelig.

Her kunne en data havari-kommission være godt, men vi finder nok aldrig ud af hvad der faktisk er sket.

Jeg mener heller ikke at det er muligt for en angriber at kryptere al data. Så det der er sket, må være at data var kryptere i forvejen af udbyderen selv. Og så er det muligt at en angriber har slettet nøglen.

Jeg forestiller mig, at angriber har haft adgang til udbyderens SAN. Og at interfacet til SANet kan indstilles til at smide nøglen væk.
Det er mit gæt.

Næste spørgsmål:
Har angriberen overhovedet nøglen. Der har været russiske ransomware-angreb, hvor det senere kunne vises at angriberen ikke kan have haft en dekrypteringsnøgle. https://www.computerworld.dk/art/240434/sikkerheds...