Update: Cloud-Anbieter nach Ransomware-Angriff Konkurs
Im August 2023 haben Cyberkriminelle den dänischen Cloud-Anbieter Cloudnordic angegriffen. Nun ist das Unternehmen in Konkurs gegangen.
Update vom 25.04.2024: Der dänische Cloud-Anbieter Cloudnordic ist pleite. Wie "Golem" unter Berufung auf dänische Medien schreibt, ist das Unternehmen nach dem Ransomware-Angriff im August 2023 aufgelöst worden. Im CVR-Register, dem zentralen Unternehmensregister Dänemarks, ist eine entsprechende Änderung ersichtlich. Es handle sich um eine "Zwangsauflösung".
Der damalige CEO Martin Haslund habe schon nach dem Angriff erklärt, dass das Unternehmen das nicht überleben werde und sei im November 2023 zurückgetreten. Sein Nachfolger Henrik Wulff Jørgensen habe Cloudnordic im März 2024 wieder verlassen. Bei seinem Rücktritt erklärte er, dass Cloudnordic "den Ransomware-Angriff nicht überlebt" habe und dass auch Netquest, mit denselben Inhabern, für insolvent erklärt wurde. Dasselbe werde laut Jørgensen mit Azerocloud, das mit Cloudnordic zusammenhängt, passieren.
Originalmeldung vom 24.08.2023:
Cloud-Anbieter verliert Grossteil der Daten seiner Kunden nach Cyberangriff
Das Albtraumszenario für jeden Cloud-Anbieter und seine Kunden ist für Cloudnordic Realität geworden. Das dänische Unternehmen wurde am 18. August 2023 Opfer eines Ransomware-Angriffs, wie aus einem Schreiben an seine Kunden hervorgeht. Die Angreifer hätten dabei sämtliche Systeme des Anbieters abgeschaltet und alle möglichen Daten gelöscht, die im Zusammenhang mit Websites und E-Mail-Systemen sowie mit Systemen der Kunden standen.
Da man das Lösegeld nicht bezahlen könne, habe das IT-Team von Cloudnordic sowie externe Experten mit Hochdruck an der Wiederherstellung der Daten gearbeitet. Ein Grossteil der Unternehmenskunden habe seine Daten jedoch dauerhaft verloren. Cloudnordic habe den Vorfall der Polizei gemeldet.
Serverumzug als Fallstrick
Der Anbieter geht davon aus, dass der Angriff im Rahmen eines Serverumzugs in ein anderes Rechenzentrum von statten ging. Einige Server, die zuvor in einem getrennten Netzwerk waren, seien wohl schon vor dem Umzug infiltriert gewesen. Im Zuge des Standortwechsels seien die Systeme in ein gemeinsames Netzwerk mit den Verwaltungs- und Backup-Systemen eingefügt worden. Dadurch konnten die Angreifer eindringen und die Daten verschlüsseln.
Cloudnordic betont, es gebe keine Hinweise auf einen Datenabfluss. Die Angreifenden hätten nicht auf die Inhalte der betroffenen Kundensysteme zugreifen können. Sie seien lediglich in die Verwaltungssysteme eingedrungen und hätten von dort aus die gesamten Festplatten verschlüsselt. Es gebe keine Anzeichen dafür, dass die Cyberkriminellen versucht hätten, die Daten zu kopieren.
Cloudnordic-Kunden sollen ihre Web- und Mailserver nun wieder - ohne die verschwundenen Daten - in Betrieb nehmen können, schreibt der Anbieter. Bei der Inbetriebnahme der DNS-Verwaltung gebe es noch Probleme. In der Kundenmitteilungen gibt Cloudnordic zusätzliche Anweisungen für das weitere Vorgehen.
Übrigens: Auch in einer IT-Laborumgebung der HSLU hat sich eine Ransomware breitgemacht. Der Angriff auf die abgetrennte Umgebung soll den regulären Hochschulbetrieb jedoch nicht beeinträchtigen - hier erfahren Sie mehr.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien