Un ataque de ransomware habría tenido consecuencias devastadoras para todos los clientes que habían contratado los servicios de dos proveedores de hosting daneses, CloudNordic y AzeroCloud.
Los actores de amenazas se habrían asegurado de cifrar absolutamente todo y borrarlo para que no puedan tener acceso a sus herramientas.
Las compañías han compartido declaraciones coincidentes en sus respectivas páginas web.
"Desafortunadamente, durante la noche del viernes 18 de agosto de 2023 a las 04:00, CloudNordic/AzeroCloud estuvo expuesta a un ataque de ransomware, donde los piratas informáticos criminales cerraron todos los sistemas", comentan.
“Páginas web, sistemas de correo electrónico, sistemas de clientes, sitios web de nuestros clientes, etc. Todo. Un robo que ha paralizado por completo a CloudNordic/AzeroCloud y que también afecta duramente a nuestros clientes”, añaden.
En este momento las páginas de los dos servicios de hosting afectados muestran un mensaje donde se indica la situación actual.
"Desafortunadamente, ha resultado imposible recrear más datos y, por lo tanto, la mayoría de nuestros clientes han perdido todos los datos que teníamos con nosotros", explican las empresas.
“Estamos profundamente afectados por la situación y somos conscientes de que el ataque también es muy crítico para muchos de nuestros clientes. Además de los datos, también perdimos todos nuestros sistemas y servidores y hemos tenido dificultades para comunicarnos. Ahora hemos restablecido sistemas en blanco, por ejemplo, servidores de nombres (sin datos), servidores web (sin datos) y servidores de correo (sin datos)”.
En una declaración a Radio 4, el CEO de las dos compañías, Martin Haslunf Johansson, ha reconocido estar "furiosamente triste". El directivo ha sido muy franco al señalar que no espera que les queden clientes cuando todo esto termine.
Johansson ha compartido que las cosas parecen bastante complicadas, aunque seguirán trabajando para evaluar los daños y comprender qué se puede restaurar. No obstante, también dice que "ni pueden ni quieren" cumplir con las demandas financieras de los ciberdelincuentes.
Pese al ataque las afectadas señalan que no hay evidencias de que se hayan extraído datos.
La causa
En cuanto al origen del incidente los dos servicios sugieren que algunos servidores pueden haber sido comprometidos en un ataque que no fue detectado, según se hace eco DatacenterDynamics. Luego, después de una migración del centro de datos, los servidores que anteriormente estaban en redes separadas se conectaron para acceder a la red interna de las empresas que se utiliza para administrar todos sus servidores.
Ahí, a través de la red interna, los atacantes obtuvieron acceso a los sistemas de administración central y a los sistemas de backup. Entonces accedieron a todos los datos de almacenamiento, al sistema de copia de seguridad replicado y al sistema de copia de seguridad secundario.
Cloud Nordic y AzeroCloud son propiedad de Certiqa Holding que, curiosamente, también posee un proveedor de inteligencia de amenazas para empresas de telecomunicaciones y gobiernos.