Инцидент, масштабы потенциальной угрозы которого сразу не оценишь, произошел в США 4 декабря.
Один из крупнейших провайдеров дата-центров в США CyrusOne стал жертвой кибератаки с использованием вымогательского ПО REvil (Sodinokibi), в августе нынешнего года атаковавшим сотни стоматологических кабинетов в США и IT-инфраструктуру в 22 округах Техаса. Судя по уведомлению с требованием выкупа, атака на сети CyrusOne была целенаправленной. Точка входа, откуда началась атака, пока не установлена.
Sodinokibi aka REvil использует нестандартную технику уклонения от анализа и обнаружения. Чтобы обойти защитные решения, Sodin использует легитимные функции процессора. Применяемая зловредом техника «Небесные врата» (Heaven’s Gate) позволяет выполнять 64-разрядный код в 32-разрядном адресном пространстве процесса (!), что затрудняет анализ и своевременное обнаружение вредоносного кода. В сентябре выяснилось , что вредонос, по сути, представляет собой GandCrab в маскхалате.
В настоящее время CyrusOne проводит расследование случившегося при участии правоохранительных органов и криминалистов, а также помогает своим клиентам восстанавливать потерянные в результате атаки данные из резервных копий.
Согласно уведомлению FIA Tech, атака была направлена на срыв операций с целью получения выкупа.
Инцидент затронул не все дата-центры CyrusOne. Хотя восстановление серверов и данных клиентов займет продолжительное время, компания не намерена платить вымогателям.
По данным Bloomberg, CyrusOne принадлежит 45 дата-центров в Европе, Азии, Южной и Северной Америке. Клиентская база компании насчитывает более тысячи клиентов. Каждый из этих клиентов может включать в себя тысячи и миллионы конечных пользователей.
Читайте также на АКБ:
Группировка APT41 крадет SMS прямо с серверов провайдера