Les sociétés d’hébergement danoises CloudNordic et AzeroCloud ont subi des attaques de ransomware, entraînant la perte de la majorité des données clients et obligeant les fournisseurs d’hébergement à fermer tous les systèmes, y compris les sites Web, la messagerie électronique et les sites clients.
Les deux marques appartiennent à la même société et ont précisé que l’attaque s’était déroulée vendredi soir dernier. Cependant, l’état opérationnel actuel reste très problématique, les équipes informatiques de l’entreprise ne parvenant qu’à restaurer certains serveurs sans aucune donnée.
De plus, la déclaration de la société précise qu’elle ne paiera pas de rançon aux acteurs de la menace et qu’elle a déjà consulté des experts en sécurité et signalé l’incident à la police.
Malheureusement, le processus de restauration du système et des données ne se déroule pas sans problème, et CloudNordic affirme que nombre de ses clients ont perdu des données qui semblent irrécupérables.
« Comme nous ne pouvons ni ne souhaitons répondre aux demandes financières de rançon des pirates informatiques criminels, l’équipe informatique de CloudNordic et des experts externes ont travaillé intensivement pour évaluer les dégâts et déterminer ce qui pourrait être récupéré », lit-on dans la déclaration de CloudNordic (traduit automatiquement).
« Malheureusement, il a été impossible de récupérer davantage de données et la majorité de nos clients ont par conséquent perdu toutes leurs données chez nous. »
Les deux avis publics incluent des instructions sur la récupération de sites Web et de services à partir de sauvegardes locales ou d’archives Wayback Machine.
Compte tenu de la situation, les deux fournisseurs de services d’hébergement avaient précédemment recommandé aux clients les plus touchés de se tourner vers d’autres fournisseurs, tels que Powernet et Nordicway.
Frapper au bon moment
Les déclarations de l’hébergeur ont révélé que certains serveurs de l’entreprise avaient été infectés par un ransomware alors qu’ils étaient protégés par des pare-feu et des antivirus.
Lors d’une migration de centre de données, ces serveurs étaient connectés au réseau plus large, permettant aux attaquants d’accéder aux systèmes administratifs critiques, à tous les silos de stockage de données et à tous les systèmes de sauvegarde.
Ensuite, les attaquants ont chiffré tous les disques du serveur, y compris les sauvegardes primaires et secondaires, corrompant tout sans laisser de possibilité de récupération.
CloudNordic affirme que l’attaque s’est limitée au cryptage des données, et les preuves collectées n’indiquent pas que des données sur les machines ont été consultées ou exfiltrées. Cela dit, il n’y a aucune preuve d’une violation de données.
Les médias danois rapportent que les attaques ont touché « plusieurs centaines d’entreprises danoises » qui ont perdu tout ce qu’elles stockaient dans le cloud, notamment des sites Web, des boîtes de réception de courrier électronique, des documents, etc.
Martin Haslund Johansson, directeur d’Azerocloud et de CloudNordic, a déclaré qu’il ne s’attend pas à ce que les clients se retrouvent avec eux une fois la reprise enfin terminée.
Cibler les fournisseurs d’hébergement est une tactique utilisée par les gangs de ransomwares dans le passé, car elle provoque des dégâts à grande échelle et fait de nombreuses victimes en une seule attaque.
En raison du nombre de victimes, les fournisseurs seront soumis à de fortes pressions pour payer une rançon pour restaurer leurs opérations et potentiellement éviter des poursuites judiciaires de la part des clients qui ont perdu leurs données.
En 2017, une attaque similaire a conduit un fournisseur d’hébergement sud-coréen à payer une demande de rançongiciel d’un million de dollars pour récupérer les données de ses clients.
Plus récemment, Rackspace a subi une attaque de ransomware Play sur ses services Microsoft Exchange hébergés, ce qui a entraîné des pannes de messagerie pour nombre de ses clients.