Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
sluiten

Laatste kans om te stemmen voor de Tweakers Awards 2019/2020!

Dit jaar organiseert Tweakers alweer voor de dertiende keer de Tweakers Awards, de publieksprijs voor de beste technologie- en elektronicaproducten. Laat je stem gelden en maak kans op een Google Stadia Premiere Edition, Nintendo Switch inclusief Mario Kart of een setje Sony WF-1000XM3 in-ear oordoppen.

Stemmen

Datacenterbedrijf uit VS is getroffen door REvil-ransomware

CyrusOne, één van de grootste datacenterbedrijven in de Verenigde Staten, is getroffen door ransomware. Zes klanten van het bedrijf hebben problemen ondervonden door de ransomware-aanval. Het bedrijf zou niet van plan zijn het losgeld te betalen.

Het tekstbestand bij de ransomware.
Afbeelding via Malwarebytes

Een woordvoerder van CyrusOne bevestigt de aanval, schrijft ZDNet. Het bedrijf zou getroffen zijn door de REvil-ransomware, die ook wel bekendstaat als Sodinokibi. Het bedrijf werkt samen met de politie en forensische instanties om de ransomware-aanval te onderzoeken en de systemen van getroffen klanten te herstellen. "Zes van onze managed service-klanten hebben problemen met de beschikbaarheid van onze diensten ondervonden door een ransomware-programma dat apparaten in hun systemen versleutelt," vertelt het bedrijf aan ZDNet. De colocatiediensten van het bedrijf zijn niet getroffen.

Onder andere financieel bedrijf en effectenmakelaar FIA Tech heeft last van de ransomware-aanval op CyrusOne. Door de ransomware waren de clouddiensten van FIA Tech niet bereikbaar. Bronnen melden aan ZDNet dat CyrusOne vooralsnog niet van plan is het losgeld te betalen. CyrusOne bezit 45 datacenters in Europa, Azië en Amerika. Het bedrijf zou meer dan duizend klanten hebben.

De Sodinokibi-ransomware versleutelt alle bestanden op een computer, en voegt hier een willekeurige bestandstype-extensie aan toe, om vervolgens een tekstbestand met details over de aanval op de getroffen computer achter te laten. Hierin worden slachtoffers opgeroepen om via de Tor-browser een bedrag over te maken, waarna de criminelen stellen de encryptiesleutel te verstrekken. Volgens ZDNet trof de ransomware eerder dit jaar meer dan twintig lokale overheidsinstanties in Texas. Details over de exacte kopie van de ransomware die CyrusOne heeft geïnfecteerd, verschenen eerder deze week op VirusTotal. Vermoedelijk was het een gerichte aanval op CyrusOne.

Door Daan van Monsjou

Stagiair nieuwsredactie

06-12-2019 • 11:07

20 Linkedin Google+

Reacties (20)

Wijzig sortering
ik denk dat ze eerst gaan uitzoeken waar de besmetting heeft plaatsgevonden, daarna deze isoleren. Zorgen dat er geen achterdeurtjes of ander exploits meer actief zijn en dan pas gaan restoren. Daarom zullen de verschillende clienten last ondervinden / niet bereikbaar zijn. Een Datacentrum dat zich laat chanteren kan beter stoppen want de komende 2 jaar ben je alleen maar bezig met brandjes blussen omdat iedere zot met een exploit je te pakken wilt nemen.
Toch raar dat een data-centrum geen backup heeft op een andere locatie.
Volgens mij draait Sodinokibi alleen op Windows based systemen en dus in Windows beschikbare storage....Wat voor diensten draait CyrusOne dan waardoor meerdere tenants downtime ondervinden in geval van zo'n infectie? Gekoppelde disks van meerdere tenants op een andere omgeving of iets dergelijks?

Sowieso een gevalletje wat je met een beetje security & backup beleid en uitvoering gewoon had kunnen voorkomen dunkt mij.
Wat voor diensten draait CyrusOne dan waardoor meerdere tenants downtime ondervinden in geval van zo'n infectie?
Managed service-klanten, dat betekend dat CyrusOne deze klanten beheert en mogelijk via een van hun eigen systemen is geïnfecteerd. Het kan ook zo zijn dat een beveiligingsgat niet (tijdig) is gepatched en de infectie is opgetreden bij al deze klanten.

Het is een beetje koffiedik kijken zonder meer informatie...

Er wordt niet gesproken over het ontbreken van een backup, echter wil je eerst de oorzaak van de infectie achterhalen en geen verdere uitbreiding, dus al die servers gaan uit. Totdat men de bron heeft achterhaald, servers opruimen, backups terugzetten, testen, etc. Dat kan even duren.
Er wordt in her artikel geen woord gerept over een backup. Dus waarop baseer je dat er geen backup is?
Excuus, retentie op files, ja noem je dan toch backup, toch?
Ik denk dat je doelt op redundantie, wat wellicht in de buurt komt van basale backups, maar toch ook weer niet geheel hetzelfde is.

Retention is vooral het 'archiveren' van gegevens aan de hand van bepaalde policies.
https://searchstorage.tec...definition/data-retention

Voor wat betreft redundancy & backups:
In a nutshell, redundant data storage provides a real-time fail-safe against hard drive failure rather than an actual backup of your data.
A backup, on the other hand, doesn’t provide real-time protection, but it does provide protection against a greater set of problems, including failed drives, device theft, fire, or even just accidentally deleting files.
https://www.howtogeek.com...E2%80%99s-the-difference/
CyrusOne managed to respond to the attack by restoring the data from the backup servers. The company has not yet released any public statements related to the issue.
Het is niet omdat er een back-up / disaster recovery aanwezig is dat dat ook meteen allemaal terug up and running is. Er staat dat bedrijven er last van ondervinden, niet dat ze data kwijt zijn.
Er wordt nergens gemeld dat ze dat niet hebben en gezien het aard van de aanval is het ook niet slim om dat prijs te geven gezien ze nog bezig zijn met het onderzoek.
Ze geven aan niet te zullen betalen, lijkt me dat ze dus backup's gaan restoren om ze de services weer beschikbaar te maken.
Misschien ligt het aan mij, maar ik kan niet achterhalen waarom gesteld wordt dat het Datacenterbedrijf getroffen wordt zoals het artikel steld. De klanten van dat bedrijf zijn toch getroffen? Dat zij toevallig hun getroffen data hosten bij CyrosOne maakt nog niet dat CyrusOne getroffen is.

Ook het oorspronkelijke artikel maakt dit niet duidelijk. Ik lees nergens terug dat de besmetting via CyrusOne gelopen heeft. De ransomware focussed zich wel op hun klanten, maar dat is nog steeds iets anders.

Als mijn pc besmet wordt met randomware, en mijn Onedrive bij Microsoft encrypted raakt wordt toch ook niet gesteld dat Microsoft getroffen is?
In het artikel wordt gesproken over "managed service" dat houdt in het beheer en infrastructuur geregeld wordt door de data center zelf. De standaard collocatie rekken zijn onder beheer van de eigenaren zelf ( uitzonderingen daargelaten).
Klopt, maar de data is van de klant, Managed Service of niet. En het is nu net de data van klanten die encrypted geraakt is. Het is mijn vraag nu net of CyrusOne verantwoordelijk is voor de integriteit van de data van klanten.
Kwestie van de contracten die erbij horen door te spitten.
De service zal allerlei parameters hebben waarbij aan elk element een prijskaartje hangt.

[Reactie gewijzigd door tweaknico op 6 december 2019 12:06]

Klopt, maar de data is van de klant, Managed Service of niet. En het is nu net de data van klanten die encrypted geraakt is. Het is mijn vraag nu net of CyrusOne verantwoordelijk is voor de integriteit van de data van klanten.
Als zij het OS beheren (managen) met AV, etc. Dan lijkt het me logisch dat CyrusOne verantwoordelijk is tot op zekere hoogte, ligt geheel hoe dat in het contract staat (maar hoe meer verantwoordelijkheid, hoe duurder het contract is over het algemeen). Hoe zo een infectie tot stand is gekomen is natuurlijk heel belangrijk in het bepalen wie er verantwoordelijk voor is. Als het nalatigheid is van CyrusOne, dan is het niet meer dan logisch dat CyrusOne verantwoordelijk wordt gehouden (maar nog steeds betekend dat niet direct een schade vergoeding). Aan de andere kant kan het ook een gebruiker/beheerder van de klant zijn die wat fout doet of beslissingen van de klant die zorgen voor een minder veilige omgeving. Bv. applicaties/gebruikers die moeten werken met meer rechten dan verstandig is ivm. met hoe een applicatie is gemaakt.

Het kan ook gewoon zo zijn dat er gebruik is gemaakt van een onbekend lek, of een versie die nog niet wordt herkend door AV/AM...
Als al je klanten besmet raken, dan gaat je reputatie natuurlijk wel omlaag..
Datacenterbedrijf zal ook veel kosten hebben om de boel weer goed te krijgen, en mogelijk klanten verliezen.
Dus zowel de klanten als het datacenter bedrijf zijn slachtoffer.
Die hebben nog wel wat onderzoek te doen, als het virus al enige tijd aanwezig is en slapend erop geplaatst is heb je ook niks meer aan je backups. Je leest het steeds meer dat men slapers installeert die pas bij bepaalde commando's met de C&C server(s) contact opnemen waarna de ellende begint. Dit zijn niet de huis tuin en keuken ransomware aanvallen maar doelgerichte aanvallen en die kunnen al tijden geleden hebben plaats gevonden.

[Reactie gewijzigd door mutsje op 6 december 2019 13:24]

Die gasten opsporen en de doodstraf geven.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True