×
a2-hosting.png
Een ransomware infectie heeft verlamd van de activiteiten van een US-based web hosting provider voor bijna acht dagen nu, enkele van de vennootschap ontevreden klanten hebben verteld ZDNet vandaag.
Beïnvloed, worden alle Windows-gebaseerde servers eigendom door A2 Hosting, een aanbieder van virtual private servers (VPS) en WordPress hosting services.
Klanten geld te verliezen
De infectie, die vond vorige week plaats op 23 April, heeft geleid tot een week-lange downtime A2 personeel heeft moeite op te lossen, wat leidt tot een eindeloze stroom van klachten en wanhopige smeekbeden voor het helpen van klanten bloeden geld met elke dag die voorbijgaat van downtime.
Er worden geen status-updates sinds 29 April…geen reactie op support tickets…geen ondersteuning voor online chatten…194 uur downtime en het tellen met nul mededeling van A2 en geen echte ETA hersteld toegang tot de gegevens. Kom op A2, is dit echt het beeld dat het publiek je wilt? pic.twitter.com/3PlnkNZvvR
— De Ideale Technologie (@IdealMSP) 1 Mei 2019
“Mijn bedrijf en al mijn harde werk zijn ontdaan van binnen de acht dagen door een hosting bedrijf dat duidelijk niet over een degelijke beveiliging in plaats van A2 klanten vertelde ZDNet vandaag in een online gesprek.
“De afgelopen acht dagen heb ik verloren mijn Google [zoeken] ranking die heeft me een jaar gekost om te bereiken, en mijn klantenbestand die uiteindelijk groeiende is geruïneerd,” zei hij.
“Sinds de hack, A2 heeft verstrekt nul informatie met betrekking tot mijn websites en database. Ik bedoel niets, zero, zilch. Ik heb links te wachten voor een uur in de wachtstand roeping te ondersteunen, te horen dat we begrijp je frustraties, maar we kunnen niet geven u een ETA. Ze hebben dit belachelijk update pagina, waar niets van stof wordt geplaatst.”
Deze klachten werden ook weerspiegeld door tientallen andere klanten op sociale media, over de afgelopen week [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].
GlobeImposter 2.0 is de meest waarschijnlijke verdachte
Gebaseerd op de beschikbare informatie, de ransomware infectie blijkt te hebben, stiekem in A2-netwerk via de Singapore-gebaseerde data-center en later verspreid naar andere Windows Server gevallen ook gevolgen hebben voor het bedrijf de AMERIKAANSE activiteiten.
Voordat A2 nam alle Windows servers down om te voorkomen dat de ransomware van het verspreiden om nog meer systemen, sommige klanten gemeld het zien van bestanden die zijn gecodeerd en hernoemd met een .lock-extensie.
Vanaf de A2, niets. Maar ik ben er vrij zeker over wat er gebeurd is. Ik was in een vergadering met een klant, en zagen we (ja, ik heb getuige) al mijn bestanden (van mijn ftp-gebied) werden omgedoopt .slot en een bericht in het gebied werd aangevallen en gecodeerd.
— Marcos Romero ⓟ (@mcfromero) 24 April 2019
Op basis van de .lock file extension en de datum van de infectie, de ransomware verschijnt een versie van de GlobeImposter 2.0 ransomware stam, waarvan de exploitanten zijn zeer actief in de afgelopen weken, Lawrence Abrams, malware analist en oprichter van Bleeping Computer, vertelde ZDNet vandaag.
GlobeImposter, een ransomware stam bekend installd via RDP, kan ook de reden zijn waarom A2 heeft uitgeschakeld RDP toegang tot de servers na de aanval.
Server restauratie is mee te traag
Het bedrijf is onbereikbaar sinds het incident, met alle pogingen om te controleren of de ransomware aanvallen met een A2-woordvoerder falen als er geen directe lijn van communicatie. De vennootschap heeft geen lijst een e-mail voor de leden van de media, de on-site de chat widget-gebruikers werden omgeleid naar een pagina status, en alle telefoontjes naar een vermelde nummer belandde in de wachtstand gezet voor tientallen minuten, alleen worden gevraagd om een support ticket.
Niettemin, het bedrijf heeft gewerkt om te herstellen van een aantal diensten (lijkt te herstellen van zijn eigen back-ups), maar niet snel genoeg, want er zijn nog steeds tientallen klanten klagen over problemen met de toegang tot servers, zelfs deze week.
Een status pagina suggereert dat Windows-servers zijn up and running voor de VS en de EU klanten, maar het bedrijf Singapore-data-center is nog steeds naar beneden voor de telling. Maar zodra het bedrijf hersteld diensten, het zal tevens antwoord geven op vragen van de klant ten aanzien van mogelijke diefstal van gegevens, zoals sommige klanten nu bang dat aanvallers zou hebben gestolen van een aantal van hun gevoelige gegevens voor het uitvoeren van de ransomware.
“Als er een bericht op ZDNet kunnen overgaan op de lezers […] is een back-up geregeld,” een A2 klant die nog steeds wachten om weer toegang tot zijn website gegevens vertelde ons vandaag. “Het is nooit te laat tot het te laat is. Ik zal nooit niet weer omhoog.”
A2 ‘ s ransomware incident is slechts de laatste in een lange lijn van ransomware aanvallen die zijn nieuwe leven in de afgelopen drie maanden, na het verschijnen om te sterven af tijdens het laatste kwartaal van 2018.
Incidenten uit het verleden zijn ransomware incidenten op aluminium provider Norsk Hydro, cyber-security bedrijf Verint, het verenigd koninkrijk Politie Federatie, bedrijfswagens fabrikant Aebi Schmidt, Arizona Dranken, ingenieursbureau Altran, het Cleveland international airport, en chemicaliën producenten Hexion en binnen momentive.
Gerelateerde malware en cybercriminaliteit dekking:
Donker web van criminaliteit markten gericht door terugkerende DDoS-attacksWhy creditcard gegevens te stelen point-of-sale-malware is nog steeds een grote problemAn binnen kijken hoe identificatie vulling activiteiten workMysterious hacker is de verkoop van Windows-0-dagen APT groepen voor drie yearsRecent Oracle WebLogic zero-day gebruikt voor het infecteren van servers met ransomwareCartoon Netwerk websites gehackt te tonen arabisch memes en Braziliaanse man strippersHow om te voorkomen dat document-gebaseerde malware-aanvallen TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO