Datacenterbedrijf uit VS is getroffen door REvil-ransomware

CyrusOne, één van de grootste datacenterbedrijven in de Verenigde Staten, is getroffen door ransomware. Zes klanten van het bedrijf hebben problemen ondervonden door de ransomware-aanval. Het bedrijf zou niet van plan zijn het losgeld te betalen.

Sodinokibi ransomware
Het tekstbestand bij de ransomware.
Afbeelding via Malwarebytes

Een woordvoerder van CyrusOne bevestigt de aanval, schrijft ZDNet. Het bedrijf zou getroffen zijn door de REvil-ransomware, die ook wel bekendstaat als Sodinokibi. Het bedrijf werkt samen met de politie en forensische instanties om de ransomware-aanval te onderzoeken en de systemen van getroffen klanten te herstellen. "Zes van onze managed service-klanten hebben problemen met de beschikbaarheid van onze diensten ondervonden door een ransomware-programma dat apparaten in hun systemen versleutelt," vertelt het bedrijf aan ZDNet. De colocatiediensten van het bedrijf zijn niet getroffen.

Onder andere financieel bedrijf en effectenmakelaar FIA Tech heeft last van de ransomware-aanval op CyrusOne. Door de ransomware waren de clouddiensten van FIA Tech niet bereikbaar. Bronnen melden aan ZDNet dat CyrusOne vooralsnog niet van plan is het losgeld te betalen. CyrusOne bezit 45 datacenters in Europa, Azië en Amerika. Het bedrijf zou meer dan duizend klanten hebben.

De Sodinokibi-ransomware versleutelt alle bestanden op een computer, en voegt hier een willekeurige bestandstype-extensie aan toe, om vervolgens een tekstbestand met details over de aanval op de getroffen computer achter te laten. Hierin worden slachtoffers opgeroepen om via de Tor-browser een bedrag over te maken, waarna de criminelen stellen de encryptiesleutel te verstrekken. Volgens ZDNet trof de ransomware eerder dit jaar meer dan twintig lokale overheidsinstanties in Texas. Details over de exacte kopie van de ransomware die CyrusOne heeft geïnfecteerd, verschenen eerder deze week op VirusTotal. Vermoedelijk was het een gerichte aanval op CyrusOne.

Door Daan van Monsjou

Nieuwsredacteur

Feedback • 06-12-2019 11:07 20

06-12-2019 • 11:07

20

Lees meer

Zweedse supermarktketen sluit 500 winkels na cyberaanval op Kaseya
Zweedse supermarktketen sluit 500 winkels na cyberaanval op Kaseya Nieuws van 4 juli 2021
Maker it-managementsoftware Kaseya getroffen door 'supply chain attack'
Maker it-managementsoftware Kaseya getroffen door 'supply chain attack' Nieuws van 3 juli 2021
Hackergroep REvil eist aanval op energiegigant Invenergy op
Hackergroep REvil eist aanval op energiegigant Invenergy op Nieuws van 13 juni 2021
Nederlandse regering wil overnames van grote datacenters toetsen
Nederlandse regering wil overnames van grote datacenters toetsen Nieuws van 22 januari 2020
Belgische politie richt team op voor snelle respons bij cyberaanvallen
Belgische politie richt team op voor snelle respons bij cyberaanvallen Nieuws van 17 december 2019
NCSC-rapport: Nederlandse bedrijven zijn getroffen door geavanceerde ransomware
NCSC-rapport: Nederlandse bedrijven zijn getroffen door geavanceerde ransomware Nieuws van 28 november 2019
Microsoft: Doppelpaymer-ransomware werd niet via BlueKeep-exploit verspreid
Microsoft: Doppelpaymer-ransomware werd niet via BlueKeep-exploit verspreid Nieuws van 21 november 2019
Universiteit Antwerpen is getroffen door Clop-ransomware
Universiteit Antwerpen is getroffen door Clop-ransomware Nieuws van 28 oktober 2019
Beveiligingsbedrijf demonstreert ransomware op Canon EOS 80D-dslr
Beveiligingsbedrijf demonstreert ransomware op Canon EOS 80D-dslr Nieuws van 12 augustus 2019
Elektriciteitsbedrijf Johannesburg is getroffen door ransomware
Elektriciteitsbedrijf Johannesburg is getroffen door ransomware Nieuws van 25 juli 2019
Meer producten en artikelen
Beveiliging en antivirus Datacenter Ransomware Verenigde staten Virus

Reacties (20)

-Moderatie-faq
20
19
15
2
0
1
Wijzig sortering
softinc 6 december 2019 11:29
ik denk dat ze eerst gaan uitzoeken waar de besmetting heeft plaatsgevonden, daarna deze isoleren. Zorgen dat er geen achterdeurtjes of ander exploits meer actief zijn en dan pas gaan restoren. Daarom zullen de verschillende clienten last ondervinden / niet bereikbaar zijn. Een Datacentrum dat zich laat chanteren kan beter stoppen want de komende 2 jaar ben je alleen maar bezig met brandjes blussen omdat iedere zot met een exploit je te pakken wilt nemen.
Mel33 6 december 2019 11:13
Toch raar dat een data-centrum geen backup heeft op een andere locatie.
magic45 @Mel336 december 2019 11:20
Volgens mij draait Sodinokibi alleen op Windows based systemen en dus in Windows beschikbare storage....Wat voor diensten draait CyrusOne dan waardoor meerdere tenants downtime ondervinden in geval van zo'n infectie? Gekoppelde disks van meerdere tenants op een andere omgeving of iets dergelijks?

Sowieso een gevalletje wat je met een beetje security & backup beleid en uitvoering gewoon had kunnen voorkomen dunkt mij.
Cergorach
@magic456 december 2019 11:34
Wat voor diensten draait CyrusOne dan waardoor meerdere tenants downtime ondervinden in geval van zo'n infectie?
Managed service-klanten, dat betekend dat CyrusOne deze klanten beheert en mogelijk via een van hun eigen systemen is geïnfecteerd. Het kan ook zo zijn dat een beveiligingsgat niet (tijdig) is gepatched en de infectie is opgetreden bij al deze klanten.

Het is een beetje koffiedik kijken zonder meer informatie...

Er wordt niet gesproken over het ontbreken van een backup, echter wil je eerst de oorzaak van de infectie achterhalen en geen verdere uitbreiding, dus al die servers gaan uit. Totdat men de bron heeft achterhaald, servers opruimen, backups terugzetten, testen, etc. Dat kan even duren.
3raser @Mel336 december 2019 11:16
Er wordt in her artikel geen woord gerept over een backup. Dus waarop baseer je dat er geen backup is?
Mel33 @3raser6 december 2019 11:20
Excuus, retentie op files, ja noem je dan toch backup, toch?
chopper88 @Mel336 december 2019 11:31
Ik denk dat je doelt op redundantie, wat wellicht in de buurt komt van basale backups, maar toch ook weer niet geheel hetzelfde is.

Retention is vooral het 'archiveren' van gegevens aan de hand van bepaalde policies.
https://searchstorage.tec...definition/data-retention

Voor wat betreft redundancy & backups:
In a nutshell, redundant data storage provides a real-time fail-safe against hard drive failure rather than an actual backup of your data.
A backup, on the other hand, doesn’t provide real-time protection, but it does provide protection against a greater set of problems, including failed drives, device theft, fire, or even just accidentally deleting files.
https://www.howtogeek.com...E2%80%99s-the-difference/
softinc @chopper886 december 2019 11:35
CyrusOne managed to respond to the attack by restoring the data from the backup servers. The company has not yet released any public statements related to the issue.
Tha Render_2 @Mel336 december 2019 11:20
Het is niet omdat er een back-up / disaster recovery aanwezig is dat dat ook meteen allemaal terug up and running is. Er staat dat bedrijven er last van ondervinden, niet dat ze data kwijt zijn.
Caelestis @Mel336 december 2019 11:21
Er wordt nergens gemeld dat ze dat niet hebben en gezien het aard van de aanval is het ook niet slim om dat prijs te geven gezien ze nog bezig zijn met het onderzoek.
paradoXical @Mel336 december 2019 11:21
Ze geven aan niet te zullen betalen, lijkt me dat ze dus backup's gaan restoren om ze de services weer beschikbaar te maken.
Question Mark Moderator SWS WOS 6 december 2019 11:26
Misschien ligt het aan mij, maar ik kan niet achterhalen waarom gesteld wordt dat het Datacenterbedrijf getroffen wordt zoals het artikel steld. De klanten van dat bedrijf zijn toch getroffen? Dat zij toevallig hun getroffen data hosten bij CyrosOne maakt nog niet dat CyrusOne getroffen is.

Ook het oorspronkelijke artikel maakt dit niet duidelijk. Ik lees nergens terug dat de besmetting via CyrusOne gelopen heeft. De ransomware focussed zich wel op hun klanten, maar dat is nog steeds iets anders.

Als mijn pc besmet wordt met randomware, en mijn Onedrive bij Microsoft encrypted raakt wordt toch ook niet gesteld dat Microsoft getroffen is?
Caelestis @Question Mark6 december 2019 11:37
In het artikel wordt gesproken over "managed service" dat houdt in het beheer en infrastructuur geregeld wordt door de data center zelf. De standaard collocatie rekken zijn onder beheer van de eigenaren zelf ( uitzonderingen daargelaten).
Question Mark Moderator SWS WOS @Caelestis6 december 2019 11:58
Klopt, maar de data is van de klant, Managed Service of niet. En het is nu net de data van klanten die encrypted geraakt is. Het is mijn vraag nu net of CyrusOne verantwoordelijk is voor de integriteit van de data van klanten.
tweaknico @Question Mark6 december 2019 12:05
Kwestie van de contracten die erbij horen door te spitten.
De service zal allerlei parameters hebben waarbij aan elk element een prijskaartje hangt.

[Reactie gewijzigd door tweaknico op 23 juli 2024 19:16]

Cergorach
@Question Mark6 december 2019 12:11
Klopt, maar de data is van de klant, Managed Service of niet. En het is nu net de data van klanten die encrypted geraakt is. Het is mijn vraag nu net of CyrusOne verantwoordelijk is voor de integriteit van de data van klanten.
Als zij het OS beheren (managen) met AV, etc. Dan lijkt het me logisch dat CyrusOne verantwoordelijk is tot op zekere hoogte, ligt geheel hoe dat in het contract staat (maar hoe meer verantwoordelijkheid, hoe duurder het contract is over het algemeen). Hoe zo een infectie tot stand is gekomen is natuurlijk heel belangrijk in het bepalen wie er verantwoordelijk voor is. Als het nalatigheid is van CyrusOne, dan is het niet meer dan logisch dat CyrusOne verantwoordelijk wordt gehouden (maar nog steeds betekend dat niet direct een schade vergoeding). Aan de andere kant kan het ook een gebruiker/beheerder van de klant zijn die wat fout doet of beslissingen van de klant die zorgen voor een minder veilige omgeving. Bv. applicaties/gebruikers die moeten werken met meer rechten dan verstandig is ivm. met hoe een applicatie is gemaakt.

Het kan ook gewoon zo zijn dat er gebruik is gemaakt van een onbekend lek, of een versie die nog niet wordt herkend door AV/AM...
ToolkiT @Question Mark6 december 2019 11:43
Als al je klanten besmet raken, dan gaat je reputatie natuurlijk wel omlaag..
Datacenterbedrijf zal ook veel kosten hebben om de boel weer goed te krijgen, en mogelijk klanten verliezen.
Dus zowel de klanten als het datacenter bedrijf zijn slachtoffer.
mutsje 6 december 2019 13:24
Die hebben nog wel wat onderzoek te doen, als het virus al enige tijd aanwezig is en slapend erop geplaatst is heb je ook niks meer aan je backups. Je leest het steeds meer dat men slapers installeert die pas bij bepaalde commando's met de C&C server(s) contact opnemen waarna de ellende begint. Dit zijn niet de huis tuin en keuken ransomware aanvallen maar doelgerichte aanvallen en die kunnen al tijden geleden hebben plaats gevonden.

[Reactie gewijzigd door mutsje op 23 juli 2024 19:16]

tmtx 7 december 2019 19:49
Die gasten opsporen en de doodstraf geven.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq