2023年8月18日星期五,丹麦云托管服务提供商 CloudNordic 遭遇勒索软件攻击。
(这是他们网站以前的样子。截至2023年8月24日,该网站显示“未找到”。)
以下是他们对被黑客攻击的描述:
适用于 CloudNordic 的客户
不幸的是,在2023年8月18日星期五凌晨4点,CloudNordic遭受勒索软件攻击,不法黑客瘫痪了所有系统,包括网站、电子邮件系统、客户系统、客户网站等等,所有系统都无法访问。这次入侵彻底瘫痪了CloudNordic的业务,也给我们的客户造成了沉重打击。
由于我们不能也不想满足犯罪黑客提出的赎金要求,CloudNordic 的 IT 团队和外部专家一直在努力了解损失情况以及可以恢复的内容。
遗憾的是,我们已无法恢复更多数据,因此我们的大部分客户的所有数据都已丢失。这同样适用于我们目前尚未联系到的所有客户。
黑客攻击事件已向警方报案。
地位
我们深受此次事件的影响,也意识到这次攻击对我们的许多客户来说同样至关重要。除了数据丢失之外,我们所有的系统和服务器也全部瘫痪,通信也受到了严重影响。目前,我们已经重建了空白系统,例如域名服务器(无数据)、Web 服务器(无数据)和邮件服务器(无数据)。
无需搬家即可获得帮助,继续前进
我们已准备好为客户恢复原域名服务器上的 DNS 管理界面,并提供全新的 Web 服务器(不含数据)和邮件服务器(不含数据),以便客户无需迁移域名即可恢复邮件和网站服务。请发送邮件至[email protected] ,邮件主题为“RESTORE”。邮件正文中请提供您的邮箱地址、电话号码和域名,之后您将收到一个新网站和邮件解决方案的登录信息,您可以在该解决方案中自行上传网站并创建邮箱地址。
DIY
关于需要快速进行 DNS 管理的域名:
这是让您的域名 DNS 恢复正常工作的最快方法。
- 我们已重新建立所有域名服务服务器,但没有您的 DNS 区域。通常可以从https://securitytrails.com/list/keyword > your-domain.xx > 子域名(技术性较强)复制大部分区域内容。
- 如果您通过[email protected]联系我们,并且按照下述方式(通过电子邮件或电话)验证了您是域名所有者,您可以申请重新在我们的域名服务中创建您的域名,这些域名仍然指向该服务。之后,您将获得一个自助式 DNS 管理工具 (PowerDNS-Admin) 的访问权限,您可以通过该工具执行以下操作之一:
- 按照您所知的正确方式创建 DNS 区域。
- 从 Securitytrails 复制区域元素(见上文)。
关于您想要迁移的域名:
请注意,转移域名可能需要几天时间,因此如果您想更快地再次使用 DNS,您可以先使用上面的选项,然后再考虑转移域名。
- 对于 .dk 域名,您可以从其他提供商订购新的虚拟主机,并且您可以通过punktum.dk自行批准将域名转移到新的提供商。
- 对于 .com 域名,您必须从新的域名注册商处订购域名,然后使用 CloudNordic 提供的授权码(auth code)。请您通过[email protected]联系我们获取授权码。请注意,由于我们目前无法处理所有请求,情况非常紧急,因此请您协助我们尽快高效地完成处理。我们必须确保仅向域名所有者发送授权码,并且我们可以:
- 发送至与域名注册人(所有者)关联的邮箱。
- 我们会拨打域名注册人(所有者)的电话号码,口头告知您验证码。我们无法通过电话直接提供验证码,只能通过拨打相应的电话号码获取。因此,您必须联系[email protected]并要求我们回电。
- 如果我们无法通过电子邮件或电话联系到您,处理过程将会更加耗时,并且最终会被排到任务队列的末尾。我们当然会尽力完成这项任务,但目前我们无法确定具体时间。对此我们深表歉意。
- 请直接联系我们的 .com 域名供应商 Ascio,他们的联系邮箱是[email protected] 。
- 对于其他所有域名,规则有所不同。除了 .dk 域名之外,我们所有的域名都由 Ascio 提供,因此操作流程与 .com 域名相同。部分域名需要使用授权码,部分则不需要。
关于如何重新创建自己的网站,以下是一些建议:
- 自备本地备份
- 摘自 Wayback Machine – https://web.archive.org/
建议邮箱地址:
- 当您的邮件服务商帮您恢复了邮件,并且您电脑上的邮件客户端(例如 Outlook、Apple Mail 等)中保留了所有旧邮件后,您应该在客户端上为新邮件帐户创建一个新的邮件帐户。然后,您可以将邮件转移到客户端中的新邮件帐户。
- 如果您在电子邮件客户端中更正现有帐户中的信息,您的电子邮件客户端将删除所有邮件。之后,您只能通过以下步骤恢复邮件:首先将电子邮件客户端恢复到更改之前的状态,然后设置一个新的电子邮件帐户,最后手动将邮件迁移过去。在 Mac 上,您可以使用内置的“时间机器”程序。
发生了什么?
据我们估计,当服务器必须从一个数据中心迁移到另一个数据中心时,尽管迁移的机器受到防火墙和防病毒软件的双重保护,但有些机器在迁移之前就已经感染了病毒,这种病毒在之前的数据中心并没有被积极使用,而我们对此毫不知情。
在将服务器从一个数据中心迁移到另一个数据中心的过程中,之前位于不同网络上的服务器不幸地被连接到了我们用于管理所有服务器的内部网络。
攻击者通过内部网络获得了对中央管理系统和备份系统的访问权限。
攻击者通过备份系统获得了以下访问权限:
- 所有存储(数据)
- 复制备份系统
- 备用系统
攻击者成功加密了所有服务器的磁盘,以及主备份系统和辅助备份系统,导致所有机器崩溃,我们失去了对所有数据的访问。
无数据泄露
此次攻击通过加密所有虚拟机的全部磁盘实现,我们尚未发现任何数据泄露的迹象。我们没有发现攻击者能够访问虚拟机本身的数据内容,但他们可以访问管理系统,从而加密整个磁盘。大量数据被加密,但我们没有发现任何试图复制大量数据的迹象。
我们对这种情况深感遗憾,并感谢多年来一直支持我们的众多忠实客户。
真挚地
CloudNordic
简而言之,数据完全丢失。
“无数据泄露”
…什么?
CloudNordic发布的声明第一句话就说,他们所有的服务器都遭到了黑客攻击和入侵。
所有数据都已泄露。那些服务器上的所有内容都应视为已泄露。
说“我们没有发现任何迹象表明有人试图复制大量数据”是毫无意义的。
这只是一份空白的公关声明。
这对 CloudNordic 意味着什么?
我们拭目以待。显然,他们向客户解释的情况是“事已至此,无可奈何”。
随着所有付费客户的数据全部丢失,你不得不问自己:
这些人当中有多少人真的做了备份?我敢打赌,肯定是少数。
所以,如果他们信任的、可靠的托管服务提供商突然丢失了所有数据……
可能不会给他们第二次机会了。到那时,事情可能就此结束了。
如果我是 CloudNordic 的客户,我对这个品牌背后的团队的所有信心都会消失殆尽。
那么,我们就不得不讨论CloudNordic的死池问题了……
(如果您不熟悉,deadpool 是我们 WebSite 和ZHUJIMAO.COM用来指代破产的一种说法。)
如果大部分付费客户流失,CloudNordic 将无法继续经营下去。
主机托管企业在可靠性方面非常依赖自身的声誉。
被贴上“勒索软件导致客户数据全部丢失”的标签,很难让人信任……
即使他们度过了这段时期,鉴于此次事件造成的曝光度,他们也很难继续以同样的品牌名称发展壮大。
他们的核心卖点现在被戳了个大洞。
勒索软件攻击呈上升趋势
近几年来,勒索软件攻击呈上升趋势。
就连宏碁这样的大公司最近也成为了勒索软件攻击的受害者。
这是一个有利可图的行业,而且我认为勒索软件攻击不会很快停止,事实上,我认为攻击会变得越来越频繁和复杂。
据大型 IT 安全公司 Zscaler 称,“2023 年勒索软件攻击增加了 37% 以上,企业平均赎金超过 10 万美元,平均赎金要求为 530 万美元。”
我与他们没有任何关联,但他们撰写了一份非常好的关于勒索软件攻击的报告。值得一读(您需要使用企业邮箱才能获取)。
总之,我们不能指望勒索软件攻击很快停止。它们不会停止。
妥善保护服务器安全至关重要,尤其是作为主机托管服务商。这才是你获得报酬的原因。
一些简单的事情,例如:
- 禁用根
- 磁盘加密
- 需要 SSH 密钥才能登录。
- 仅允许特定 IP 地址访问您的服务器
- 配置防火墙,例如 UFW
可以帮助你的整个公司免于彻底崩溃,或者,也可以防止你的数据消失在加密的虚无之中。
至少要配置外部备份……
CloudNordic是否应该支付赔偿金?
正如他们自己所说,“我们不能也不想满足犯罪黑客提出的赎金要求”。
他们付不起黑客索要的赎金,假设是一百万美元。这可以理解。
但公平地说,即使他们付得起……我自己可能也不会付钱。
过去我们已经看到很多案例,支付赎金并没有给受害者带来任何好处,而且加密货币交易也无法完全逆转。
联邦调查局不支持支付赎金来应对勒索软件攻击。支付赎金并不能保证您或您的组织能够找回任何数据。此外,它还会鼓励犯罪分子瞄准更多受害者,并诱使其他人参与此类非法活动。
他们本不应该付钱,但他们一开始就应该确保服务器安全。
他们要走出这段阴影会非常困难,但并非不可能……
我们拭目以待,看看这对 CloudNordic 会产生怎样的影响。
