Einblicke in einen katastrophalen Dateneinbruch und was er für die Cybersicherheitslandschaft bedeutet
Wenn die Wolke platzt, regnet es Probleme: Dies wurde den Kunden der dänischen Cloud-Hosting-Unternehmen CloudNordic und Azero vor Kurzem schmerzlich bewusst. Beide Firmen, Tochtergesellschaften der Certiqa Holding, verloren durch einen gravierenden Ransomware-Angriff am 18. August sämtliche Kundendaten und mussten ihre Server herunterfahren.
Die Angriffsvektoren: Der Teufel steckt im Detail
Die Angreifer verschafften sich frühmorgens Zugang und legten sämtliche Systeme lahm, von den Webservices über E-Mail-Systeme bis hin zu den Kundendatenbanken. Die betroffenen Unternehmen standen vor einer kaum lösbaren Herausforderung: Die Hacker forderten Lösegeld, das weder bezahlt werden konnte noch sollte. Daraufhin informierten die Unternehmen die zuständigen Strafverfolgungsbehörden.
Der Angriff folgte kurz nachdem die Unternehmen Server von einem Datenzentrum in ein anderes verlagert hatten. Trotz Firewall- und Antiviren-Schutz stellte sich heraus, dass einige der Server bereits vor der Migration kompromittiert waren.
Die unausweichliche Falle: Ein schlafender Drache erwacht
Interessant ist, dass die Infektion in der ursprünglichen Datenzentrumsumgebung nicht aktiv war. Die Angreifer warteten scheinbar auf den optimalen Zeitpunkt und schlugen zu, als die Servernetzwerke im Zuge der Migration rekonfiguriert wurden. In diesem Prozess erlangten sie Zugang zum internen Netzwerk und den Backup-Systemen und konnten sämtliche Daten verschlüsseln – inklusive der Replikations- und Sekundärbackup-Systeme. Es bleibt unklar, ob auch Daten abgeflossen sind, was in der Ransomware-Szene als „Doppelerpressung“ bekannt ist.
Erneuerung aus den Trümmern
CloudNordic und Azero arbeiten daran, zumindest grundlegende Funktionen für ihre Kunden wiederherzustellen. Sie haben bereits leere Systemstrukturen, wie Namens-, Web- und E-Mail-Server, ohne Daten eingerichtet. Darüber hinaus haben sie Leitfäden für Organisationen veröffentlicht, die schnelle DNS-Änderungen oder Domain-Umzüge vornehmen möchten.
Lehren und Perspektiven: Ein Weckruf für die Branche
Die Debatte in Fachkreisen hat bereits begonnen. Die Ereignisse regen zur Diskussion über die Vor- und Nachteile von „unveränderlichen“ gegenüber „luftdicht isolierten“ Backups an. Einige Experten plädieren für eine Hybridstrategie, bei der ein Backup-Satz vor Ort bleibt, während ein anderer zu einem externen Dienstleister ausgelagert wird.
Die Zahlen sprechen eine klare Sprache: Ransomware-Angriffe nehmen global zu, und Cybersecurity-Anbieter wie die NCC Group verzeichnen enorme Anstiege bei den Vorfällen. Im letzten Monat gab es 502 solcher Angriffe, ein Anstieg von 153% im Vergleich zum Vorjahr, wobei die Cl0p-Gruppe besonders aktiv war.
Dieser Fall dient als drastische Erinnerung daran, dass Sicherheitsprotokolle und Backup-Strategien kontinuierlich überprüft und angepasst werden müssen. Es unterstreicht die Notwendigkeit für Organisationen, auch eigene Backup-Lösungen in Erwägung zu ziehen, selbst wenn dies mit Kosten verbunden ist. Denn wie wir sehen, kann das Fehlen eines soliden Backup-Plans weitreichendere und kostspieligere Folgen haben.
Abschließend lässt sich sagen, dass der Angriff auf CloudNordic und Azero nicht nur ein dramatisches Ereignis für die betroffenen Firmen und deren Kunden ist, sondern auch ein Weckruf für die gesamte IT-Sicherheitsbranche.