Twee maanden geleden is een handvol locaties van 365Datacenters.com op zwart gegaan door ransomware. Vergelijkbare incidenten zijn niet bekend, daarom is dit een case die het bestuderen waard is.
365Datacenters.com is een Amerikaans bedrijf. Door overnames zijn en autonome groei zijn er 12 verschillende datacenter gebouwen. Verder heeft het bedrijf meer dan 80 pops door het land, vooral voor de connectiviteit. Een organisatie met zoveel gebouwen is naar Nederlandse begrippen groot. Naar Amerikaanse begrippen is het een mid-sized aanbieder. Groot genoeg om beursgenoteerde bedrijven te kunnen optekenen als klant.
Kritische vragen
Dat soort klanten hoort niet over een nacht ijs te gaan bij de keuze voor het datacenter. Een van de vragen is dan ook hoeveel daarvan nu in de problemen komen door kritische vragen van klanten en vooral de auditors, verzekeraard en beurstoezichthouders.
365Datacenters.com is rond 14 mei slachtoffer geworden van ransomware. Het verhaal gaat dat het doelwit eigenlijk een klant was, maar de aanvaller heeft de aanval verbreed en heeft daarmee het datacenter bedrijf grotendeels platgelegd. Het heeft zes (!) weken geduurd eer de klanten weer ongeveer online waren.
Wat bijzonder is aan deze aanval is dat vanuit de omgeving van een klant de controle van het achterliggende (virtuele) platform kon worden benaderd. Toen de aanvaller eenmaal op dat niveau kon rondneuzen was het onvermijdelijk dat ook daar alles zou worden versleuteld. Met hostingproviders als klant en bedrijven die op basis van de infra zelf diensten aanbieden is daarom ook de aangerichte schade ook zo groot. Providers met meer dan 1.000 hostingklanten elk maken (of maakten) gebruik van het 365 platform. Al die klanten konden niets meer doen. SaaS aanbieders konden hun 1.000en klanten evenmin bedienen. Tot de meer pijnlijke punten behoort dat 365 als platform doorging voor DR en DRaaS dienstverlening. Wat hier fout is gegaan lijkt echt iets anders dan bij Solarwinds en Kaseya.
Hybride cloud omgeving
Toppunt is echter geweest dat de schade niet beperkt bleef tot een fysiek datacenter. De aanvallers hebben meerdere datacenters platgelegd, omdat eenmaal binnen er geen hordes meer waren in de vorm van segmentatie. De enige reden waarom niet alle datacenters van 365Datacenters.com plat zijn gegaan is omdat een deel van de overgenomen bedrijven nog niet geïntegreerd was om deel uit te maken van de 365 hybride cloud omgeving. Voor beheer gebruik maakte men op die locaties nog gebruik van andere tooling.
Omdat er inmiddels rechtszaken zijn aangespannen en sommige klanten schadeclaims moeten indienen zullen er op termijn wel meer details bekend worden. Dan wordt het verhaal nog leerzamer, want er zijn nog nooit eerder datacenters gedagvaard wegens ransomware overlast.