- CloudNordic, un fournisseur cloud danois, a annoncé avoir perdu toutes les données de ses clients à la suite d’une attaque par ransomware contre son centre de données.
- L’attaque par ransomware a commencé vendredi et a mis à l’arrêt tous les systèmes, y compris le site web, le système de messagerie et les systèmes clients.
- Les disques de tous les serveurs, y compris les systèmes de sauvegarde principal et secondaire, ont ensuite été chiffrés, provoquant finalement la panne de tous les systèmes et rendant les données inaccessibles.
- On estime que le problème s’est produit parce qu’un serveur déjà infecté a été migré vers le nouveau centre de données lors du déménagement du data center.
- L’attaque a commencé depuis le réseau interne.
- Heureusement, aucune preuve n’a été trouvée d’une fuite de données clients.
- Il semble que les attaquants n’aient pas accédé aux données elles-mêmes, mais uniquement au système d’administration capable de chiffrer les disques complets de toutes les machines virtuelles.
- Aucune tentative d’exfiltration des données n’a été observée.
- Les systèmes sont actuellement en cours de reconstruction, avec de nouveaux serveurs DNS, web et mail déjà mis en place.
- Cependant, comme toutes les données ont été perdues, les clients doivent ressaisir toutes leurs informations.
- CloudNordic affirme ne pas avoir l’intention de payer les attaquants ni de négocier avec eux.
4 commentaires
J’ai supprimé le message immédiatement parce que j’avais quelque chose à ajouter, mais la notification était déjà partie.
Je suis désolé, j’ai l’impression de l’avoir envoyé deux fois sans le vouloir...
La prochaine fois qu’une modification sera nécessaire, je ferai une demande séparée au lieu de supprimer le message...
À force, c’est devenu un point tellement important qu’on a l’impression qu’il a été souligné deux fois.
Quoi qu’il en soit, c’est une situation extrêmement grave.
À en juger par le fait que les disques des serveurs virtuels ont été chiffrés, les sauvegardes à froid de secours étaient elles aussi, au final, hébergées sur des serveurs virtuels,
et comme les attaquants ont chiffré l’intégralité des disques de ces serveurs virtuels, il semble que même les sauvegardes à froid aient toutes disparu.
L’entreprise est touchée, bien sûr, mais pour les clients qui utilisent ce prestataire, c’est aussi un coup de massue.
Leur système de messagerie, leur DNS et tout le reste ont probablement été emportés avec le reste,
et si certains utilisaient ce prestataire à la fois pour l’hébergement web et l’e-mail, ils semblent se retrouver dans une situation où ils ne peuvent même plus recevoir de demandes de clients.
La seule vraie solution, ce serait vraiment des sauvegardes sur quelque chose comme des bandes physiquement impossibles à modifier… ?
Au final, on ne peut compter que sur ses propres bandes magnétiques !