×
a2-hosting.png
En ransomware infektion, har vanskeliggjort driften af en amerikansk web-hosting-udbyder for næsten otte dage nu, flere af selskabets utilfredse kunder har fortalt ZDNet i dag.
Påvirket er alle Windows-baserede servere, der ejes af A2 Hosting, der er en udbyder virtuelle private servere (VPS) og WordPress-hosting-tjenester.
Kunder taber penge
Den infektion, som fandt sted i sidste uge på April 23, har ført til en uge-lange nedetid, at A2 medarbejdere har kæmpet for at fastsætte, hvilket fører til en uendelig strøm af klager og desperate anmodninger om hjælp fra kunder blødning penge med hver dag, der går af nedetid.
Ingen status opdateringer siden 29 April…ingen svar på support-billetter…ingen support chat online…194 timers nedetid og regner med nul kommunikation fra A2 og ingen reel ETA på restaureret adgang til data. Komme på, A2, er det virkelig den offentlige billede, du ønsker? pic.twitter.com/3PlnkNZvvR
— Ideel Teknologier (@IdealMSP) 1 Maj 2019
“Min forretning, og alt mit hårde arbejde har været renset inden otte dage efter en hosting virksomhed, der tydeligvis ikke har robust sikkerhed på plads,” en af A2 ‘ s kunder fortalte ZDNet i dag i en online samtale.
“I løbet af de sidste otte dage har jeg tabt min Google [søg] placering, som tog mig et år at opnå, og min kundebase, som blev endelig vokser er blevet ødelagt,” sagde han.
“Da hack, A2 har givet nul oplysninger om mine websites og database. Jeg mener intet, nul, zilch. Jeg har været overladt til at vente en time på hold, ringer til support, for at få at vide, at vi forstår dine frustrationer, men vi kan ikke give dig et ETA. De har denne latterlige opdatere siden, hvor noget af stoffet er lagt.”
Disse klager blev ligeledes gentaget af snesevis af andre kunder på sociale medier, i den seneste uge [1, 2, 3, 4, 5, 6, 7, 8, 9, 10].
GlobeImposter 2.0 er den mest sandsynlige mistænkte
Baseret på de tilgængelige oplysninger, den ransomware infektion, ser ud til at have sneg sig ind A2 ‘ s netværk via sin Singapore-baserede data center, og senere bredte sig til andre Windows Server tilfælde også påvirker virksomhedens aktiviteter i USA.
Før A2 tog alle Windows servere ned for at undgå ransomware fra at sprede sig til endnu flere systemer, nogle brugere har rapporteret, at se filer krypteret og omdøbes med et .lås forlængelse.
Fra A2, intet. Men jeg er temmelig sikker på, om hvad der skete. Jeg var i et møde med en kunde, og vi har set (ja, jeg har fået vidne) alle mine filer (fra min ftp-området) blev omdøbt til .lås og en meddelelse, der angiver det område, der blev angrebet og krypteret.
— Marcos Romero ⓟ (@mcfromero) April 24, 2019
Baseret på .lock file extension og infektion dato, den ransomware ser ud til at være en version af GlobeImposter 2.0 ransomware stamme, hvis operatører har været meget aktiv i løbet af de seneste uger, Lawrence Abrams, malware analytiker og grundlægger af Bleeping Computer, fortalte ZDNet i dag.
GlobeImposter, en ransomware stamme kendt for at være installd via RDP, kan også være grunden til, at A2 har deaktiveret RDP adgang til deres servere efter angrebet.
Server restaureringen har været at komme sammen langsom
Virksomheden har været utilgængelig siden hændelsen, med alle forsøg på at kontrollere ransomware angreb med en A2 talsmand ikke, da der ikke var nogen direkte kommunikation. Selskabet har ikke angivet en e-mail til medlemmer, medier, on-site chat-widget omdirigeret brugere til en status-side, og alle telefon opkald til et angivet nummer endte med at blive sat på hold til ti minutter, kun for at blive bedt om at indsende en support ticket.
Ikke desto mindre, virksomheden har arbejdet på at genskabe nogle tjenester (ser ud til at være gendannelse fra sine egne backups), selv om den ikke hurtigt nok, så der er stadig snesevis af kunder, som klager over problemer med at få adgang servere selv i denne uge.
En status-side, der tyder på, at Windows-servere er oppe og køre for OS, og EU ‘ s kunder, men virksomheden er Singapore data center er stadig nede til tælling. Men når virksomheden er færdig med at gendanne tjenester, vil det også have til at besvare kundernes spørgsmål vedrørende tyveri af data, som nogle kunder frygter nu, at angriberne kan have stjålet nogle af deres følsomme data, før du kører ransomware.
“Hvis der er nogen besked ZDNet kan gå videre til læsere […] er at bakke op med jævne mellemrum,” en A2 kunde, der stadig venter på at få adgang til hans hjemmeside er data, der fortalte os i dag. “Det er aldrig for sent, indtil det er for sent. Jeg vil aldrig aldrig op igen.”
A2 ‘ s ransomware episoden er blot den seneste i en lang række af ransomware angreb, som har set nye liv i løbet af de sidste tre måneder, efter at have medvirket til at dø ned i den sidste fjerdedel af 2018.
Tidligere hændelser omfatter ransomware hændelser i aluminium udbyder Norsk Hydro, cyber-sikkerhed firma Verint, STORBRITANNIEN Police Federation, utility vehicles producent Aebi Schmidt, Arizona Drikkevarer, ingeniørvirksomhed Altran, Cleveland internationale lufthavn, og kemikalier producenter Hexion og Momentive.
Relaterede malware og it-kriminalitet dækning:
Dark web kriminalitet markeder ramt af tilbagevendende DDoS attacksWhy kredit kort data stjæle point-of-sale malware er stadig sådan en stor problemAn inde at se på, hvordan credential fyld operationer workMysterious hacker har været at sælge Windows 0-dage til APT grupper for tre yearsRecent Oracle WebLogic nul-dag, der anvendes til at inficere servere med ransomwareCartoon Netværk hjemmesider hacket til at vise arabisk memer og Brasilianske mandlige strippersHow at undgå dokument-baseret malware-angreb, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO