Las dos han emitido un comunicado conjunto en el que reconocen que «durante la noche del 18 de agosto de 2023 a las 4:00, CloudNordic y AzeroCloud estuvieron expuestas a un ataque de ransomware, en el que los hackers criminales apagaron todos los sistemas. Páginas web, los sistemas de correo electrónico, los sistemas de los clientes, las webs de nuestros clientes, etc. Todo. Una intrusión que ha paralizado por completo a CloudNordic y AzeroCloud, y que también ha tenido un fuerte impacto en nuestros clientes«.
Según Techcrunch, la prensa danesa ha confirmado que cientos de empresas han resultado afectadas. Las webs de las empresas de hosting que ofrecían diversos servicios de almacenamiento, han sido sustituidas por un texto que explica la situación actual. En los dos casos, los rescates pedidos a las empresas han sido seis bitcoins, alrededor de 155.000 dólares.
En ambos casos, las empresas han reconocido que no pueden afrontar ese paso, y además tampoco quieren hacerlo. Por ahora están trabajando con sus asesores para valorar los daños y ver qué pueden recuperar, pero han reconocido que la situación no tiene muy buena pinta.
Según representantes de las dos empresas, «desgraciadamente, ha sido imposible recrear más datos, y la mayoría de nuestros clientes, por tanto, han perdido todos los datos que tenían con nosotros. Estamos profundamente afectados por la situación, y somos conscientes de que el ataque es también muy crítico para muchos de nuestros clientes. Además de los datos, hemos perdido todos nuestros sistemas y servidores y hemos tenido dificultades de comunicación. Ahora hemos reestablecido los sistemas, en blanco. Por ejemplo nombres de servidores, servidores web y servidores de correo. Sin datos.»
Como causa del ataque, las dos empresas sugieren que algunos servidores podrían haberse visto comprometidos en un ataque previo que hubiese pasado desapercibido. Entonces, después de una migración de un centro de datos, los servidores que estaban en redes que antes eran independientes se cablearon para acceder a las redes internas de las dos empresas, que se usan para gestionar todos sus servidores.
Entonces, a través de la red interna, los atacantes consiguieron acceso a los sistemas de administración centrales y a los de copia de seguridad. Los atacantes lograron entonces acceso a todos los datos de almacenamiento, el sistema de copias replicado y el sistema de copia de seguridad secundario.
CloudNordic y AzeroCloud han confirmado que los atacantes consiguieron cifrar los discos de todos los servidores, además de todos lo de los sistemas de copia de seguridad primario y secundario, por lo que todas las máquinas se cayeron y se perdió el acceso a todos los datos. A pesar del ataque, eso sí, ninguna de las dos empresas ha encontrado evidencias de que haya habido exfiltración de datos.
Ambas empresas lamentan lo sucedido y han dado las gracias a los clientes que han sido fieles a ellos a lo largo del tiempo, y ya señalan estar listas para restaurar a los clientes con los mismos nombres de servidores, y sus nuevas webs y servidores de correo para que puedan empezar a funcionar de nuevo sin mover el dominio. Eso sí, sin ninguno de los datos que tenían. Las empresas solo han sugerido como medio para que recuperen algo de su información revisar sus copias de seguridad locales, y copiar páginas del servicio Wayback Machine de Internet Archive.