E-handlare drabbade i ransomware-attack

Tror dock Ryssland och Kina gör sånt här av andra intressen än ekonomiska

Hur svårt ska det vara att återställa några VMs från en avskiljd backup-lösning? Borde ta 5 minuter om man har ESX osv…. ELLER

Absolut, men att attackera sådana här system är ju mycket för att testa hur vi svarar, se vår försvarsförmåga och it-beroende. Samma som när de ’råkar’ flyga in i vårt luftrum och annat

Tror nog man vill vara säker på att man hittat alla platser där det finns skadlig kod, rensa bort och säkerställa att inget kommer tillbaks när man kör in backup. Det kan ta ett tag att verifiera, skulle jag tro.

Men asså hur får man in ett ransomware som dödar hela serverhallen? Är inte alla olika företags system separerade?

Nån som är kunnig o kan förklara teorier om hur det kom in o dödade allt?

Nån admin som klicka på ett mail där stog "Free girls webcamshow" click here?

Jag förstår iaf inte hur det kan drabba allt i serverhallen?

kontantfritt och helt beroende av nätet.. ja vi gör det lätt för utomstående att lamslå Sverige .. way to go

Hitta källan till intrånget
Få igång system som beror på andra
Få stora system som dessa startas helt från scratch
Ofta mycket handpåläggning och saknade startscriot/parametrar
Många system saknar backup
Kan finnas komponenter som är gamla odokumenterade
Många som slutat sedan saker gjordes
Många saker kanske inte ens är lagrade utan bara finns i minne och försvinner

I det här fallet var det ju ett intrång i själva datahallen/infrastrukturen. Alla tjänster som kör ovanpå det är ju beroende och uppsatt att allt är precis lika som innan, men det kanske behövde ändras av säkerhetsskäl eller best practice. Hårdkodade ip-adresser och annat

Stora grejen är att samla information och lära sig systemet igen från grunden, och vara säker att man inte exponerar något nytt eller samma igen

Några snabba uppdateringar.

• Tietoevry har bekräftat att det är Akira som ligger bakom.

• Akira har inte publicerat någon information på sin blogg än.

• Jag ringde och pratade med Icas pressavdelning angående Icas driftstörning och de sade att den är orelaterad till utpressningsattacken mot Tietoevry.

Vet vi att alla servrar är påverkade? Kan ju vara manuellt frånkopplat i väntan på ner inorfmation om hela hallar är borta.

Oavsett är det ju inte underligt att flera system drabbas om de exenpelvis är beroende av en gemensam sårbar komponent. I detta fall har vi inte facit i hand än men det finns många alternativ. Kanske använder de en gemensam administrationsprogramvara på alla servrar? Kanske sårbarheter i hypervisor/KVM/VPN-system/monitoreribgsprogramvara eller vad annat du kan komma på. Kan ju även vara så att servrarna inte varit separerade ordentligt och att angripare kunnat förflytta sig lateralt i det interna nätet efter att ha fått fotfäste. Vi vet ju inte i dagsläget hur länge angraparna varit i systemen.

Sweclockers - Vem ligger bakom detta: Utredning pågår.

Aftonbladet - Vem ligger bakom detta: Rysk attack.

Vad är underligt med det? Tietoevry har ju själva bekräftat att Akira ligger bakom. Attributering är ju alltid svårt men gruppen har ju attributerats till Ryssland. När man väljer att betrakta bevisläget som tillräckligt för publicering kan ju skilja sig såklart. Tycker du att Aftonbladet är förhastade? Varför isf?

Mitt NDA har gått ut (konsultade på Evry för ett bra tag sedan) så jag kan säga att det gjorde de för 5-10 år sedan iaf. De har dock lite andra villkor än de flesta andra, så gissningsvis är de inte drabbade och om de är det är de extremt högt prioriterade. Det senare är dock bara en spekulation, hade inte med den nivån av infrastrukturen att göra.
Med en sån kund är självklart mycket redundant och jag tar i princip för givet att mycket körs lokalt on-site samtidigt som molnsynk görs. De bör således kunna jobba på i princip som vanligt, men det kräver isåfall att det finns fysiskt folk på plats om det är så upplägget är. Återigen spekulation, dock något jag känner mig ganska säker på baserat på ett antal års erfarenhet inom branschen.
Är inte ett rövhål som kommer med onödiga detaljer heller, det skulle ändå inte vara relevant här.

För övrigt flaggade jag för denna CVE internt hos min nuvarande arbetsgivare och vi kollade varenda jefla klient redan i Oktober, thank fuck för att jag kollar nyheter om 0days och dylikt varje vardagsmorgon. Att inte täppa >6 månader gamla 9.8or är obegripligt för mig.