{"id":285217,"date":"2023-08-23T18:10:57","date_gmt":"2023-08-23T16:10:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285217"},"modified":"2023-11-06T07:42:39","modified_gmt":"2023-11-06T06:42:39","slug":"cloudnordic-ransomware-und-pltzlich-war-die-dnische-cloud-ausgeknipst","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/23\/cloudnordic-ransomware-und-pltzlich-war-die-dnische-cloud-ausgeknipst\/","title":{"rendered":"CloudNordic: Ransomware, und plötzlich war die dänische Cloud ausgeknipst"},"content":{"rendered":"

[English<\/a>]Kunden des d\u00e4nischen Cloud-Anbieters CloudNordic haben erfolgreich gelernt, was es hei\u00dft, sich die Verantwortung zu teilen. Der Anbieter hatte beim Umzug in ein neues Rechenzentrum eine Ransomware-Infektion, so dass das Cloud-Angebot komplett f\u00fcr die Kundschaft ausgeknipst wurde. Der Anbieter musste die Kunden informieren, dass alle Server und Kundendaten gel\u00f6scht wurden. Zudem teilte CloudNordic mit, dass es die L\u00f6segeldforderung der Cyberkriminelle nicht bezahlen will und kann. Wer kein Backup hat, f\u00fcr den ist nun \"Schicht im Schacht\", es muss alles manuell neu aufgesetzt werden.<\/p>\n

<\/p>\n

Cloud-Hack l\u00f6scht alles<\/h2>\n

\"\"Der Cloud-Anbieter CloudNordic hat auf seiner (nur schwer erreichbaren) Webseite eine entsprechende Meldung an seine Kunden ver\u00f6ffentlicht<\/a>. Ich bin bei The Register auf die Information<\/a> \u00fcber diesen Cyber-Vorfall gesto\u00dfen. Hier die grobe \u00dcbersetzung:<\/p>\n

Leider ist CloudNordic in der Nacht zum Freitag, den 18. August 2023 um 4 Uhr morgens einem Ransomware-Angriff zum Opfer gefallen, bei dem kriminelle Hacker alle Systeme abgeschaltet haben. Websites, E-Mail-Systeme, Kundensysteme, die Websites unserer Kunden, usw. Einfach alles. Ein Einbruch, der CloudNordic komplett lahmgelegt hat und auch unsere Kunden hart getroffen hat.<\/p>\n

Da wir die finanziellen Forderungen der kriminellen Hacker nach L\u00f6segeld nicht erf\u00fcllen k\u00f6nnen und wollen, haben das IT-Team von CloudNordic und externe Experten hart daran gearbeitet, sich einen \u00dcberblick \u00fcber den Schaden zu verschaffen und dar\u00fcber, was wiederhergestellt werden konnte.<\/p>\n

Leider hat es sich als unm\u00f6glich erwiesen, weitere Daten wiederherzustellen, und die meisten unserer Kunden haben alle Daten bei uns verloren. Dies gilt f\u00fcr alle, die wir noch nicht kontaktiert haben.<\/p><\/blockquote>\n

Der Hackerangriff wurde zwar bei der Polizei angezeigt, aber der Totalschaden ist f\u00fcr die Kunden und den Cloud-Anbieter eingetreten. Das Unternehmen zeigt sich sehr besorgt \u00fcber die Situation und wei\u00df auch, dass der Angriff f\u00fcr viele unserer Kunden ebenfalls sehr kritisch ist. Denn es wurden nicht nicht nur Daten, sondern auch alle CloudNordic Systeme und Server verloren und konnten nicht mehr kommunizieren.<\/p>\n

Die IT-Leute des Anbieters haben zwar jetzt die leeren Systeme wiederhergestellt, z. B. Namensserver (ohne Daten), Webserver (ohne Daten) und Mailserver (ohne Daten). Damit k\u00f6nnen Kunden die betreffenden Funktionen wieder neu aufsetzen, damit Webseiten und Mail-Server f\u00fcr Kunden wieder ohne Domain-Umzug zu einem anderen Anbieter funktionieren.<\/p>\n

Wer kein Backup besitzt, f\u00fcr den wird das Ganze aber wohl schwierig – je nach Unternehmen d\u00fcrfte das sogar existenzbedrohend werden. Das Unternehmen gibt noch Hinweise, wie Kunden ggf. einen Domain-Umzug organisieren oder Webinhalte, f\u00fcr die es kein Backup gibt, per Webarchiv restaurieren k\u00f6nnen.<\/p>\n

Wie konnte das passieren?<\/h2>\n

Die Frage, die mich sofort umtrieb: Wie konnten die Angreifer in die Cloud-Infrastruktur eindringen? Hier sitzt der Teufel wohl im Detail, denn die Cybergang hat die Phase eines Umzugs der Server in ein anderes Rechenzentrum genutzt. Dazu schreibt CloudNordic:<\/p>\n

Nach unserem Kenntnisstand waren beim Umzug von Servern von einem Rechenzentrum in ein anderes und trotz der Tatsache, dass die umzuziehenden Maschinen sowohl durch eine Firewall als auch durch ein Virenschutzprogramm gesch\u00fctzt waren, einige der Maschinen vor dem Umzug mit einer Infektion infiziert. Diese Infektionen wurden im vorherigen Rechenzentrum nicht aktiv genutzt, und wir hatten keine Kenntnis von der Infektion.<\/p>\n

W\u00e4hrend des Umzugs von Servern von einem Rechenzentrum in das andere wurden Server, die sich zuvor in separaten Netzwerken befanden, ungl\u00fccklicherweise verkabelt, um auf unser internes Netzwerk zuzugreifen, das f\u00fcr die Verwaltung aller unserer Server verwendet wird.<\/p>\n

\u00dcber das interne Netzwerk verschafften sich die Angreifer Zugang zu den zentralen Verwaltungssystemen und den Backup-Systemen. \u00dcber das Backup-System gelang es den Angreifern, sich Zugang zu verschaffen zu:<\/p>\n