Ransomware-Angriff: Alle Daten bei CloudNordic futsch

Der Clouddienstleister CloudNordic aus Dänemark wurde am Freitagmorgen vergangener Woche Opfer eines Ransomware-Angriffs. Die Angreifer haben dabei alle Systeme abgeschaltet. Bei einer Überprüfung der IT-Mitarbeiter und externer Experten habe sich herausgestellt, dass sich keine Daten retten lassen – die Daten sind vollständig verloren.

Auf der Webseite des Unternehmens findet sich eine provisorische, einfache Webseite, die auf Dänisch den Vorfall erläutert und Kunden erste Hilfestellung gibt, wie sie mit leeren Webauftritten und Mailservern neu anfangen können. Demnach hätten die Angreifer CloudNordic selbst und die Server der Kunden komplett lahmgelegt.

CloudNordic: Lösegeldforderung nicht erfüllbar

Das Unternehmen könne und wolle der Lösegeldforderung in ungenannter Höhe nicht nachkommen. Die Daten lassen sich jedoch nicht wiederherstellen, die meisten der Kunden hätten dadurch alle Daten bei CloudNordic verloren. Es sei dem Unternehmen bewusst, dass der Angriff für viele Kunden kritisch sei. CloudNordic habe nicht nur Daten, sondern auch Systeme und Server verloren und habe nicht mehr kommunizieren können. Inzwischen seien leere Systeme wie Nameserver, Webserver und Mailserver ohne Daten wiederhergestellt.

CloudNordic bietet den Kunden an, die Domains und Server wieder einzurichten, damit kein Umzug zu anderen Anbietern nötig wird. Der Support wolle bei der Einrichtung nach Verifizierung der Identität helfen. Um etwa die Webseite wiederherzustellen, verweist das Unternehmen auf eigene lokale Kopien der Kunden oder auf die Wayback-Machine web.archive.org.

Hintergründe zum Angriff

CloudNordic erklärt, dass bei einem Umzug von Servern von einem Rechenzentrum in ein anderes die Maschinen an das interne Netz angeschlossen wurden. Die Maschinen waren zuvor in getrennten Netzen aktiv. Auf einigen Servern lauerten trotz Firewalls und Virenscannern unerkannte Infektionen, deren Verursacher zuvor nicht aktiv waren. Im internen Netz wurden sie dann jedoch aktiv und verschafften sich Zugang zu den Verwaltungs- und Backup-Systemen.

Dadurch gelang den Cyberkriminellen der Zugriff auf alle Datenspeicher, Replikations-Backup-Systeme und sekundäre Sicherungssysteme. Die bösartigen Akteure verschlüsselten alle Server-Laufwerke sowie die primären und sekundären Backup-Systeme. Dadurch stürzten die Rechner ab und hatten keinen Zugriff mehr auf die Daten. Einen Datenschutzverstoß etwa in Form von Datenabfluss habe CloudNordic nicht festgestellt. Die Angreifer hatten demnach Zugriff auf die Verwaltungssysteme, von denen aus sie die Laufwerke verschlüsseln konnten, nicht jedoch auf den Dateninhalt der Maschinen selbst.

Cyberangriffe auf (Cloud-)Dienstleister sind an der Tagesordnung. Bei erfolgreichen Attacken kommt es dabei zu massiven Störungen, etwa bei Krankenkassen aufgrund einer Cyberattacke auf den Anbieter Bitmarck oder bei kommunalen Verwaltungen sowie Landes- und Bundesbehörden wie bei Angriffen auf den IT-Dienstleister Materna. Für gewöhnlich lassen sich nach einiger Zeit jedoch Daten wieder restaurieren. Das ist im Falle von CloudNordic jedoch nicht zu erwarten. Offenbar ist es eine gute Idee, bei der Nutzung von Cloud-Diensten auf regelmäßige lokale Backups zu setzen.

(dmk)