Im August 2023 konnten Angreifer sämtliche Systeme von CloudNordic abschalten und alle Daten verschlüsseln, die im Zusammenhang mit Websites und E-Mail-Systemen sowie mit Systemen der Kunden standen. Das Unternehmen konnte (und wollte) das geforderte Lösegeld nicht bezahlen. Ihm gelang es aber nur ansatzweise, die Daten seiner Unternehmenskunden wieder herzustellen. Ein Großteil der Daten blieb verloren.
Jetzt hat CloudNordic sein Geschäft eingestellt. Das berichtet die dänische Computerworld unter Berufung auf einen Eintrag im dänischen Handelsregister. Der damalige CEO Martin Haslund habe bereits direkt nach dem Angriff erklärt, dass das Unternehmen ihn nicht überstehen werde. Er ist im November 2023 zurückgetreten.
Sein Nachfolger Henrik Wulff Jørgensen hat CloudNordic im März 2024 wieder verlassen. Bei seinem Rücktritt erklärte er, dass auch Netquest, das zu CloudNordic gehörte insolvent sei und dasselbe Schicksal auch Azerocloud bevorstehe, das ebenfalls zu CloudNordic gehörte.
Handwerkliche Fehler beim Server-Umzug
Der Angriff erfolgte nach heutigem Wissenstand im Rahmen eines Server-Umzugs in ein anderes Rechenzentrum. Offenbar waren einige Server, die zuvor in einem getrennten Netzwerk waren, schon vor dem Umzug infiziert. Beim Standortwechsels wurden diese Server mit den Verwaltungs- und Backup-Systemen in einem Netzwerk zusammengeführt. Dadurch konnten die Angreifer auch die Daten auf den Backup-Systemen verschlüsseln.
"Tief im Inneren wissen wir, dass es das Beste ist, eine wasserdichte Barriere zwischen Primärdaten und Backup zu errichten (wie bei einem Tape, das Sie von einer Bandstation oder einem Bandroboter auswählen), aber dennoch denken wir nicht selten, dass dass es ausreicht, Snapshots in der Speicherlösung zu verwenden oder ein Windows-basiertes Rechenzentrum gegen einen Windows-basierten Festplattenspeicher in derselben Verwaltungsdomäne wie die primär gespeicherten Daten zu sichern", kommentierten dänische Beobachter direkt nach Bekanntwerden des Angriffs. Und der Consultant Mattias Sjödin übersetzte das für Nicht-Techniker mit den Worten: "Der Angreifer kann so das Primärsystem übernehmen und der Angreifer kann so gleichzeitig auch die Backups übernehmen."
Schicksal der Kunden und Reseller ungewiss
Laut CloudNordic gab es keine Hinweise auf einen Datenabfluss. Die Angreifer hätten lediglich alle Festplatten verschlüsselt. Es gebe jedoch keine Anzeichen dafür, dass sie versucht hätten, die Daten auch zu kopieren. Für die betroffenen Kunden ist das ein schwacher Trost.
Auch das Angebot, ihre Web- und Mail-Server ohne die verschlüsselten Daten wieder in Betrieb zu nehmen, dürfte nur den wenigsten weitergeholfen haben. Wie viele von ihnen durch den Datenverlust jetzt um ihre Existenz fürchten müssen, ist noch unklar.
Auch die Frage, welche Folgen das Aus von CloudNordic für dessen Reseller hat, ist noch ungeklärt. Das Unternehmen vermarktete seine Cloud-Computing-Plattform samt virtueller Server, Hosted Exchange, Hosted SharePoint, Backup mit der Software der 2013 von GFI Software übernommenen niederländischen Firma IASO, Shared Web Hosting, Domains und SSL-Zertifikatverschlüsselung auch über Partner.