Uf, den er ikke god.
Azero har desværre i løbet af natten til fredag den 18-8-2023 klokken 04 været udsat for et ransomware angreb, hvor kriminelle hackere har lagt alle systemer ned. Hjemmesider, e-mail-systemer, kundesystemer, vores kunders hjemmesider mm. Alt. Et indbrud der har lammet Azero fuldstændigt, og som også rammer vores kunder hårdt.
Idet vi ikke kan og ej heller ønsker at imødekomme de kriminelle hackeres økonomiske krav om løsesum, har Azero’s IT hold og eksterne eksperter arbejdet på højtryk på at få overblik over skaderne, og over hvad det var muligt at genskabe.
Det har desværre vist sig umuligt at genskabe mere data, og størstedelen af vores kunder har dermed mistet alt data hos os. Det gælder alle vi på nuværende tidspunkt ikke har kontaktet.
Hackingangrebet er meldt til politiet.
Hov, korrektion. Det lader til at de havde backups separat, men ved en fejlkabling efter flytning, blev servere der tidligere havde været på et separat netværk (og formentlig allerede var inficeret), kablet således at de fik adgang til det interne netværk, der bruges til at administrere alle deres servere. Og derfra gik det galt.
Man kan undre sig over, hvordan det har kunne lade sig gøre at de har haft servere de ikke var klar over var inficeret med ransomware?
Ork, det er da det nemmeste at forestille sig 😃 Det kræver bare én server, der ikke er opdateret før de er inde. Hvis man så samtidig ikke har haft effektiv malware-beskyttelse er det kun lettere.
Jeg betvivler ikke hvordan det er sluppet ind overhovedet…men hvordan de har formået at have en inficeret server som de overhovedet ikke vidste var ramt af ransomware inden de tilslutter den er mig lidt en gåde. Man opdager trods alt rimelig hurtigt at man ikke har adgang til sine filer fordi de bliver krypteret.
Det tager trods alt tid for ransomware at kryptere filerne på disken, det er ikke noget der sker på et splitsekund med hele serveren.
Lockbit 2.0 fra 2021 æder 100 TB på en nat (under 8 timer) på en standard-maskine med 8 kerner og 16 GB RAM. Del det ud på alle servere og så ser man hurtigt data er væk.
Derudover kan der gå længe fra de er blevet hacket til ransomwaren er aktiveret. Den har måske ligget der i måneder og ventet på at blive aktiveret. Vi ved det ikke og mine gæt er lige så gode som andres.
Jeg tror ikke ransomwaren begyndte at kryptere før den fik adgang til det interne net. Så de opdagede det ikke før det var for sent.
Det er jo ikke fordi det melder sin tilstedeværelse. Tror det er rigtigt nemt at have noget skidt på din maskine hvis du ikke formaterer tit.
Tænker de rimelig hurtigt burde opdage en server der er inficeret med ransomware der krypterer alle deres filer. De har jo tilsyneladende haft en server med det her skidt på som de har tilsluttet netværket og så har den spredt det…men hvorfor har de så lidt styr på deres serveres tilstand, at de ikke vidste den var inficeret?
“Det er vores bedste vurdering, at da servere skulle flyttes fra et datacenter til et andet og på trods af at maskinerne der blev flyttet var beskyttet af både firewall og antivirus, så var nogle af maskinerne inficeret inden flytningen, med en inficering der ikke havde været brugt aktivt i det tidligere datacenter, og vi havde ikke viden om at der var en inficering.” Fra deres skriv på https://azero.cloud/ (som selvfølgelig kan være fuld af lort. De har jo incitament til at få det til at lyde som om de har fulgt standardprocedurer og ikke sovet i timen.) Men det blev først aktiveret senere da de tilkoblede til det interne netværk (som heller ikke burde være sket), så det er fair nok at de først opdagede det da. Linux kernelen alene har mere end 62.000 filer og 25 millioner linjer kode. Der er mange steder at gemme et stykke kode. Det sejlede sikkert ved dem (er min erfaring at det gør det i de fleste firmaer), men det er ikke nemt at vide om man har malware der sover på din maskine så vidt jeg ved, det er bare det jeg siger.