AzeroCloud ramt af Ransomware – Kunder mister data
Hostingselskabet AzeroCloud blev natten til fredag ramt af Ransomware, som har krypteret alle kundernes data, så de nu er tabt.
Ransomware er en bestemt form for hackerangreb, hvor der smugles en virus ind i en virksomheds servere, som krypterer alle data på serverne, så de kun kan åbnes med en nøgle bagmændende har. Virussen kan for eksempel komme skjult som en mail fra Post Nord, hvor en medarbejder klikker på et link, hvorefter virussen kommer ned på medarbejderens computer. Her spreder den sig til alle servere tilgængelig på virksomhedens netværk og krypterer alle data.
Så er dataene tabt med mindre man har passwordet til at dekryptere dataene. Det password har kun bagmændende og de tager mange penge for at give dem, typisk flere millioner kroner som skal overføres som bitcoins. Selv hvis man betaler for passwordet er der ingen garanti for at man faktisk får passwordet. Desuden kan det at man betaler forstærke udbredelsen af denne type angreb, der hedder Ransomware. Derfor råder politiet til at man IKKE betaler bagmændende.
Netop sådan et angreb var hostingvirksomheden AzeroCloud udsat for op til weekenden. Alt data på deres servere blev krypteret, herunder kundernes hjemmesider, email, kundesystemer m.m. Og nu er alle de data tabt, så mange kunder ikke længere har en hjemmeside eller email. Kun hvis kunderne selv har gemt en ekstern backup kan dataene genskabes. Serverne med AzeroClouds egen interne backup blev også ramt.
AzeroCloud har også været i kontakt med bagmændene, men de kræver en løsesum på en million kroner. Det har AzeroCloud ikke, og som politiet anbefaler har de ikke tænkt sig at betale. Dermed er dataene tabt for cirka 3.700 kunder.
AzeroCloud er det samme selskab som CloudNordic. På deres hjemmeside fremgår der opslag fra en del frustrerede kunder der nu ikke har adgang til hverken email eller hjemmeside, og som ikke oplever at få nogen svar fra AzeroCloud.
I dette tilfælde var der tale om såkaldt Faust Ransomware, der krypterer alt data, som får endelsen .faust. Faust er også navnet på den gruppe af kriminelle bagmænd der står bag det hele, og som er en variant af Phobos Ransomware familien. Den gruppe starter tilbage i 2018 med deres angreb, og de er kendt for at angribe såkaldte RDP forbindelser for at smugle deres scripts ind.
Læren i dette er at man som kunde i fx. et hostingselskab altid selv skal sikre en ekstern backup. Det er ikke nok kun at købe intern backup hos hostingselskabet. Vælger man at stole på intern backup, skal man undersøge kvaliteten af dette, idet der som minimum også skal være en offline backup i virksomheden, som ikke kan blive ramt af Ransomware.