×
a2-hosting.png
En ransomware infektion som har förlamat verksamheten i ett USA-baserat webbhotell för nästan åtta dagar nu, flera av bolagets missnöjda kunder har berättat för ZDNet idag.
Negativt är alla Windows-baserade servrar som ägs av A2 Hosting, en leverantör av virtuella privata servrar (VPS) och WordPress hosting-tjänster.
Kunder förlorar pengar
Infektionen, som tog plats i förra veckan den 23 April, har lett till en vecka långa driftstopp som A2 personalen har kämpat med att fixa, vilket leder till en oändlig ström av klagomål och desperat vädjan om hjälp från kunder blöder pengar för varje dag som går av driftstopp.
Inga status-uppdateringar sedan den 29 April…inget svar att stödja biljetter…inget stöd chatta på nätet…194 timmars driftstopp och räkna med noll kommunikation från A2 och ingen riktig ETA på återställas tillgång till data. Kom på A2, är detta verkligen den offentliga bild som du vill? pic.twitter.com/3PlnkNZvvR
— Perfekt Teknik (@IdealMSP) 1 Maj, 2019
“Mitt företag och alla mina hårda arbete har varit rensad inom åtta dagar av ett webbhotell som uppenbarligen inte har en robust säkerhet på plats, säger en av A2: s kunder berättade ZDNet idag i en online-konversation.
“Under de senaste åtta dagarna har jag förlorat min Google [sök] ranking som tog mig ett år att uppnå, och min kundbas som slutligen växer har varit förstört,” sade han.
“Sedan hacka, A2 har gett noll information om mina hemsidor och databaser. Jag menar, ingenting, noll, zilch. Jag har varit kvar för att vänta en timme på is calling stöd, få höra att vi förstår din frustration, men vi kan inte ge dig ett ETA. De har detta löjliga uppdatera sidan, där inget ämne är inlagd.”
Dessa klagomål på samma sätt som upprepats av tiotals andra kunder på sociala medier den senaste veckan [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].
GlobeImposter 2.0 är den mest sannolika misstänkt
Baserat på nu tillgänglig information, och ransomware infektionen verkar ha smugit in A2 nätverk via sin Singapore-baserade data-center och spred sig senare till andra Windows Server-instanser, också påverkar bolagets verksamhet i USA.
Innan A2 tog alla Windows-servrar ner för att undvika att den ransomware från att sprida sig till ännu fler system, vissa kunder har rapporterat att se filerna krypteras och döptes med en .lås förlängning.
Från A2, ingenting. Men jag är ganska säker på om vad som hände. Jag var på ett möte med en kund, och vi såg (ja, jag har fått bevittna) alla mina filer (från min ftp-området) har bytt namn till .lås och ett meddelande som anger det område attackerades och krypterad.
— Marcos Romero ⓟ (@mcfromero) April 24, 2019
Baserat på den .lock file extension och den dagen, den ransomware verkar vara en version av den GlobeImposter 2.0 ransomware stam, vars aktörer har varit mycket aktiv under de senaste veckorna, Lawrence Wright, malware analytiker och grundare av Bleeping Dator, till ZDNet idag.
GlobeImposter, en ransomware stam kända för att vara installd via RDP, kan också vara anledningen till att A2 har inaktiverat RDP tillgång till sina servrar efter attacken.
Server restaurering har varit på väg längs långsam
Företaget har varit onåbar sedan incidenten, med alla försök att kontrollera ransomware attack med en A2 talesperson misslyckas eftersom det inte fanns någon direkt kommunikation. Företaget inte lista en e-post för medlemmar i media, på plats chat widget användare omdirigeras till en status sida, och alla telefonsamtal till ett antal angivna slutade i att vara på is för tiotals minuter, bara för att bli ombedd att ett supportärende.
Ändå har företaget arbetat för att återställa vissa tjänster (som verkar vara att återställa från sina egna säkerhetskopior), även om det inte är tillräckligt snabb, så det finns fortfarande tiotusentals kunder klagar över problem med att komma åt servrar även denna vecka.
En status sida föreslår att Windows-servrar är igång för OSS och EU: s kunder, men bolagets Singapore data center är fortfarande nere för räkning. Men när företaget har återställts tjänster, det kommer även att svara på kundernas frågor om eventuell stöld av data, som vissa kunder nu rädsla för att angriparna kan ha stulit några av deras känsliga data innan du kör den ransomware.
“Om det är något budskap ZDNet kan passera på läsare […] är att säkerhetskopiera regelbundet,” A2 kund som väntar fortfarande på att få tillgång till sin webbplats uppgifter som berättade för oss idag. “Det är aldrig för sent förrän det är för sent. Jag kommer aldrig tillbaka upp igen.”
A2 ransomware händelsen är bara den senaste i en lång rad av ransomware attacker som har sett nya liv under de senaste tre månaderna, efter att visas för att dö ned under sista kvartalet 2018.
Tidigare händelser har ransomware incidenter på aluminium leverantören Norsk Hydro, en cyber-bevakningsföretag Verint, STORBRITANNIEN polisförbundet, utility fordon tillverkaren Aebi Schmidt, Arizona Drycker, ingenjörsfirma Altran, Cleveland international airport, och kemikalier producenter Hexion och Momentive.
Relaterade skadliga program och it-brottslighet täckning:
Mörka webben brottslighet målgrupperna genom återkommande DDoS attacksWhy kreditkort data stjäla point-of-sale malware är fortfarande en så stor problemAn inne titt på hur referensen fyllning verksamhet workMysterious hacker har sålt Windows 0-dagar till APT-grupper för tre yearsRecent Oracle WebLogic zero-day som används för att infektera servrar med ransomwareCartoon Nätverk webbplatser hackad att visa arabiska memer och Brasiliansk manliga strippersHow för att undvika att dokument-baserade attacker malware TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO