Servers e-mailprovider VFEmail geformatteerd door aanvaller
Servers van e-mailprovider VFEmail zijn bij een aanval geformatteerd. Ook zijn back-ups, virtual machines en bestandsservers verloren gegaan. Op Twitter laat de provider weten dat het grootste deel van de infrastructuur door de aanval is getroffen. VFEmail biedt zowel gratis als betaalde e-maildiensten.
Twintig uur geleden meldde de provider dat alle externe systemen down waren. Niet veel later bleek dat een aanvaller had toegeslagen, die kon worden betrapt tijdens het formatteren van een back-upserver. "Op dit moment heeft de aanvaller alle schijven van alle servers geformatteerd. Elke virtual machine, elke bestandsserver, elke back-upserver is verloren gegaan", aldus een tweet van VFEmail. Volgens de e-mailprovider heeft de aanvaller niet om losgeld gevraagd, maar is er sprake van "attack and destroy".
Door de aanval zijn onder andere mailboxes van gebruikers verloren gegaan. Inmiddels is een deel van de infrastructuur hersteld en worden inkomende berichten weer afgeleverd. De beheerder van VFEmail merkt op dat hij naar het datacentrum zal moeten gaan om te kijken of een bestandsserver die tijdens het formatteren kon worden gered, te herstellen is, alsmede de e-mail die erop staat. "Maar het grootste deel van de infrastructuur is verloren gegaan."
Tuurlijk ze zijn handig en tuurlijk tape is ouderwets, maar als je modern en hip bezig bent reken er dan maar op dat
je een keer op je bek gaat. Dure les geleerd.
Ze hebben overigens een IP adres van de hacker vermeld maar dat blijkt een VPS hosting bedrijf in Bulgarije te zijn. Mogelijk is die gehackt of heeft de hacker daar met vervalste gegevens en een gestolen creditcard een VPS besteld en overgenomen om vanaf daar verder te hacken. Waar die hacker dud daadwerkelijk zit is dus erg lastig in te schatten maar "Rusland" is een optie...
Verder heeft men alles binnen een geheel datacenter gehost en dat levert risico's op. Een datacenter is zo sterk als de zwakste schakel en als er een ander systeem binnen het datacenter zat dat zwak beveiligd was dan heb je al snel toegang tot de rest. Ik vraag mij af ook ook andere klanten binnen dit datacenter dupe zijn geworden van deze hacker.
Maar kijk even naar https://www.vfemail.net/design.php en zeg dan ook even wat hier niet klopt? Staat er niet dat ze een Offsite backup hebben? Wat doet die backup dan in datzelfde datacenter?
Ik heb ook niet het idee dat het een groot bedrijf is. Eerder misschien drie of vier personen die gezamenlijk wat in elkaar hebben gehackt zonder al te veel verstand van zaken. Dit is knullig en amateuristisch...
Tuurlijk ze zijn handig en tuurlijk tape is ouderwets, maar als je modern en hip bezig bent reken er dan maar op dat
je een keer op je bek gaat. Dure les geleerd.
Sterkte met je tapes kerel! Vergeet ook niet je data op cd te branden.
En het belangsrijkste voordeel van tape is dat het een 'offline' opslagmedium is en daardoor vrijwel niet vatbaar voor ransomware en online aanvallen.
Dat er niet bij kunnen is toch een beetje lastig. Natuurlijk moet je er niet zomaar vanaf internet bij kunnen. Maar de server die gebackupt moet worden zal er toch bij moeten kunnen om de backup te kunnen doen. Dus als je die server hackt dan kan je waarschijnlijk zo doorhacken naar de backup server. Je zou die toegang tot de backup server moeten beperking tot alleen backup. Dus geen remote (secure) shell logins, e.d. Dat scheelt al iets.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
