Uf, den er ikke god.

Azero har desværre i løbet af natten til fredag den 18-8-2023 klokken 04 været udsat for et ransomware angreb, hvor kriminelle hackere har lagt alle systemer ned. Hjemmesider, e-mail-systemer, kundesystemer, vores kunders hjemmesider mm. Alt. Et indbrud der har lammet Azero fuldstændigt, og som også rammer vores kunder hårdt.

Idet vi ikke kan og ej heller ønsker at imødekomme de kriminelle hackeres økonomiske krav om løsesum, har Azero’s IT hold og eksterne eksperter arbejdet på højtryk på at få overblik over skaderne, og over hvad det var muligt at genskabe.

Det har desværre vist sig umuligt at genskabe mere data, og størstedelen af vores kunder har dermed mistet alt data hos os. Det gælder alle vi på nuværende tidspunkt ikke har kontaktet.

Hackingangrebet er meldt til politiet.

  • SorteKanin@feddit.dkM
    link
    fedilink
    arrow-up
    6
    ·
    edit-2
    1 year ago

    Shit mand, det er derfor sikkerhed og backup skal tages alvorligt. En lille glipper og så er hele din virksomhed forduftet som dug for solen.

    Jeg kan ikke rigtig se andre muligheder end at man må have air-gapped backups som jo i sagens natur er nødt til at blive lavet manuelt frem for automatisk (som jo ellers er foretrukket når man laver backup).

    • joey_moey@feddit.dk
      link
      fedilink
      arrow-up
      2
      ·
      1 year ago

      Det er vist ikke så simpelt. Man kan sagtens tro at man har tilstrækkeligt med backups, eller at processerne omkring det fungerer som de skal. Per definition er det jo noget man håber på aldrig at få brug for, det samme som når vi forsikrer vores hus eller bil. Det er først når man står med lorten, at man opdager om man var ordentligt dækket ind. Og der skal virkelig ikke meget til før omfattende backups er værdiløse, hvis det er konfigureret forkert. Man tester heller ikke bare lige om off-site backups fungerer som de skal, da det tager lang tid at gendanne, og man typisk er nødt til at lukke ned imens.

      Det sagt, så er IT-branchen jo stadig meget ung og uduelig. Giv det 50 eller 100 år, så skal de nok få styr på hvad der er vigtigt. Hint, det er ikke bundlinje eller tempo. Men generelt er IT-sikkerhed ikke prioriteret nok. Måske der kan komme specialiserede konsulenthuse, der specifikt tester backups og hjælper med den slags ved at stille hele den nødvendige infrastruktur til rådighed. Måske det allerede findes, men virksomhederne har nedprioriteret den slags. De skal nok lære det, der skal bare være tilstrækkeligt mange skræmmehistorier.

      • SorteKanin@feddit.dkM
        link
        fedilink
        arrow-up
        1
        ·
        1 year ago

        Det sagt, så er IT-branchen jo stadig meget ung og uduelig. Giv det 50 eller 100 år, så skal de nok få styr på hvad der er vigtigt.

        Personligt og professionelt som en del af IT-branchen selv, så er jeg ikke så sikker på at det bliver meget bedre bare med mere tid. Jeg tror problemet med software er at det har uendelig mulighed for kompleksitet. Der er ingen fysiske love der sætter begrænsninger, som i byggebranchen. Og det ændrer sig ikke bare fordi der går 100 år.

        • joey_moey@feddit.dk
          link
          fedilink
          arrow-up
          1
          ·
          1 year ago

          Jeg tænker mere, at ingen aner hvad der foregår, fordi tingene udvikler sig så hurtigt. Når det bliver stabiliseret, så skal det nok blive bedre.

          Der vil selvfølgelig altid være dumme beslutninger, men det er sjældent udviklernes skyld. Ledelsen skal lære af erfaring hvad der er vigtigt, eksempelvis backups.

  • VonReposti@feddit.dk
    link
    fedilink
    arrow-up
    5
    ·
    1 year ago

    Dette er et godt tidspunkt at nævne 3-2-1 backupreglen. Altid sørg for at have tre backups på mindst to forskellige typer medier og mindst én offsite. Hvis man som kunde ved Azero har mistet kritisk data, så har man ikke haft en god nok disaster recovery plan.

    Der er desværre mange, selv professionelle, der ikke sørger for ordentlige backups, men forhåbentlig kan vi bruge hændelser som denne til at udbrede kendskaben til god dataskik.

    • SorteKanin@feddit.dkM
      link
      fedilink
      arrow-up
      3
      ·
      1 year ago

      Det tror jeg. Altså lad os bare lege med idéen om at de får data tilbage og hurtigt får gendannet hele deres service (usandsynligt). Selv i det tilfælde er de jo kaput, der er jo ingen tillid til dem mere.

  • clb92@feddit.dk
    link
    fedilink
    dansk
    arrow-up
    3
    ·
    edit-2
    1 year ago

    Og derfor sørger man for at have egne backups.

    The cloud is just someone elses computer.

  • bobslaede@feddit.dk
    link
    fedilink
    arrow-up
    3
    ·
    1 year ago

    Av.
    Jeg kender ikke azero. Det er et slags webhotel eller hvad? Hvad har de haft af services?
    Hvorfor filan har de ikke sikkerhedskopier af alt relevant. At de ikke engang kan genskabe dna zoner og konfigurationer tyder på at de slet ikke har backup.

    • letraset@feddit.dkOP
      link
      fedilink
      arrow-up
      1
      ·
      1 year ago

      Jeg tror de havde backups, men dem har ransomware-holdet også krypteret. Hvilket tyder på at de ikke havde off-premise backups. Det er en tung lærestreg, og meget uheldigt for både Azero og deres kunder.

      Azero har mange år på bagen. Jeg har aldrig benyttet dem, men husker dem som udbyder for i hvert fald 10 år siden, sikkert længere. De tilbød webhoteller, domain-salg, og vist også VPS og cloud-løsninger.

      • letraset@feddit.dkOP
        link
        fedilink
        arrow-up
        2
        ·
        1 year ago

        Hov, korrektion. Det lader til at de havde backups separat, men ved en fejlkabling efter flytning, blev servere der tidligere havde været på et separat netværk (og formentlig allerede var inficeret), kablet således at de fik adgang til det interne netværk, der bruges til at administrere alle deres servere. Og derfra gik det galt.

        • Grippler@feddit.dk
          link
          fedilink
          arrow-up
          2
          ·
          edit-2
          1 year ago

          Man kan undre sig over, hvordan det har kunne lade sig gøre at de har haft servere de ikke var klar over var inficeret med ransomware?

          • vandlaas@feddit.dk
            link
            fedilink
            arrow-up
            2
            ·
            1 year ago

            Ork, det er da det nemmeste at forestille sig 😃 Det kræver bare én server, der ikke er opdateret før de er inde. Hvis man så samtidig ikke har haft effektiv malware-beskyttelse er det kun lettere.

            • Grippler@feddit.dk
              link
              fedilink
              arrow-up
              1
              ·
              edit-2
              1 year ago

              Jeg betvivler ikke hvordan det er sluppet ind overhovedet…men hvordan de har formået at have en inficeret server som de overhovedet ikke vidste var ramt af ransomware inden de tilslutter den er mig lidt en gåde. Man opdager trods alt rimelig hurtigt at man ikke har adgang til sine filer fordi de bliver krypteret.

              Det tager trods alt tid for ransomware at kryptere filerne på disken, det er ikke noget der sker på et splitsekund med hele serveren.

              • SorteKanin@feddit.dkM
                link
                fedilink
                arrow-up
                1
                ·
                1 year ago

                Man opdager trods alt rimelig hurtigt at man ikke har adgang til sine filer fordi de bliver krypteret.

                Jeg tror ikke ransomwaren begyndte at kryptere før den fik adgang til det interne net. Så de opdagede det ikke før det var for sent.

              • vandlaas@feddit.dk
                link
                fedilink
                arrow-up
                1
                ·
                1 year ago

                Lockbit 2.0 fra 2021 æder 100 TB på en nat (under 8 timer) på en standard-maskine med 8 kerner og 16 GB RAM. Del det ud på alle servere og så ser man hurtigt data er væk.

                Derudover kan der gå længe fra de er blevet hacket til ransomwaren er aktiveret. Den har måske ligget der i måneder og ventet på at blive aktiveret. Vi ved det ikke og mine gæt er lige så gode som andres.

          • Marand@feddit.dk
            link
            fedilink
            arrow-up
            2
            arrow-down
            1
            ·
            1 year ago

            Det er jo ikke fordi det melder sin tilstedeværelse. Tror det er rigtigt nemt at have noget skidt på din maskine hvis du ikke formaterer tit.

            • Grippler@feddit.dk
              link
              fedilink
              arrow-up
              1
              ·
              1 year ago

              Tænker de rimelig hurtigt burde opdage en server der er inficeret med ransomware der krypterer alle deres filer. De har jo tilsyneladende haft en server med det her skidt på som de har tilsluttet netværket og så har den spredt det…men hvorfor har de så lidt styr på deres serveres tilstand, at de ikke vidste den var inficeret?

              • Marand@feddit.dk
                link
                fedilink
                arrow-up
                2
                ·
                1 year ago

                “Det er vores bedste vurdering, at da servere skulle flyttes fra et datacenter til et andet og på trods af at maskinerne der blev flyttet var beskyttet af både firewall og antivirus, så var nogle af maskinerne inficeret inden flytningen, med en inficering der ikke havde været brugt aktivt i det tidligere datacenter, og vi havde ikke viden om at der var en inficering.” Fra deres skriv på https://azero.cloud/ (som selvfølgelig kan være fuld af lort. De har jo incitament til at få det til at lyde som om de har fulgt standardprocedurer og ikke sovet i timen.) Men det blev først aktiveret senere da de tilkoblede til det interne netværk (som heller ikke burde være sket), så det er fair nok at de først opdagede det da. Linux kernelen alene har mere end 62.000 filer og 25 millioner linjer kode. Der er mange steder at gemme et stykke kode. Det sejlede sikkert ved dem (er min erfaring at det gør det i de fleste firmaer), men det er ikke nemt at vide om man har malware der sover på din maskine så vidt jeg ved, det er bare det jeg siger.