W dalekiej Korei Południowej rozgrywa się właśnie dramat właściciela firmy hostingowej Nayana, której wszystkie serwery zaszyfrował ransomware Erebus. Właściciel sprzedał firmę i oddał cały majątek by odzyskać dane klientów.
W ostatnią sobotę 10 czerwca ok. godziny 1:30 czasu lokalnego 3400 klientów południowokoreańskiej firmy hostingowej Nayana straciło dostęp do swoich danych. Firma poinformowała, że padła ofiarą ransowmare Erebus, które zaszyfrowało dyski 153 jej serwerów. Niestety wszelkie próby odzyskania danych zawiodły i właściciel firmy stanął przed trudnym wyborem.
W Korei Południowej robi się to inaczej
Nie znamy analogicznego przypadku z naszego rynku, ale przypuszczamy, że w Polsce ta historia mogła potoczyć sie inaczej. Spójrzmy zatem, co stało się w Korei Południowej. Atakujący postawili poprzeczkę bardzo wysoko, żądając na początek kwoty 10 BTC za odszyfrowanie każdego serwera. Oznaczało to prawie 4 milionów dolarów. Początkowe żądania szybko jednak obniżono do 5.4 BTC za każdy serwer a po kolejnej rundzie negocjacji do sumarycznej kwoty 550 BTC za całość danych.
Prezes firmy Hwang Chilghong w dramatycznym apelu do włamywaczy poprosił o obniżenie kwoty okupu do 123 BTC, ponieważ jest to równowartość całego jego płynnego majątku (nieco ponad 300 000 dolarów). Gdy włamywacze odmówili, wystawił na sprzedaż całą firmę i otrzymał ofertę w wysokości równowartości ok. 226 BTC. Ostatecznie z włamywaczami uzgodniono zapłatę w kwocie 397.6 BTC, czyli nieco ponad miliona dolarów (lub ok. 4 milionów PLN). Firma została sprzedana a pierwsza rata okupu wpłacona.
Według najnowszych doniesień z firmowego bloga do tej pory uruchomiono dopiero z 6 serwerów a dane odzyskano z 49. Każdy serwer to ok. 2-5 dni na samo odszyfrowanie plików specjalnym dekrypterem plus dodatkowe 2-3 dni na korektę uprawnień do plików i weryfikację ich integralności. Trwa także współpraca z włamywaczami którzy pomagają w przypadku błędów w odszyfrowywaniu danych. Cały proces odzyskiwania danych i zakupu kluczy deszyfrujących podzielono na trzy etapy, by mieć pewność, że klucze deszyfrujące działają prawidłowo i dane można odzyskać. Aktualny postęp prac można śledzić na firmowym blogu Nayana (tłumacz Google radzi sobie przyzwoicie).
Skąd taka decyzja
Trudno nam powiedzieć, czy decyzja o sprzedaży firmy oraz całego prywatnego majątku jej prezesa (jak sam pisze – 20 lat pracy) wynikała tylko ze względów kulturowych. Szantażyści w swojej korespondencji wskazywali na możliwe pozwy klientów oraz wstyd ciągnący się za właścicielem. Trzeba mu przyznać, że w tej niezwykle trudnej sytuacji zachował twarz. Pozostaje już tylko dodać, że gdyby zdążył się wcześniej zapisać na nasz jutrzejszy darmowy webinar o kopiach bezpieczeństwa to cała historia mogła się potoczyć inaczej.
Komentarze
Ostatnie zdanie trochę takie na siłę, nie wiadomo czy miało być śmieszne czy nie
Myślę, że ani nie miało być śmieszne, ani nieśmieszne. Miało przypomnieć o możliwości rejestracji na darmowy webinar o kopiach bezpieczeństwa, na którym potencjalnie można będzie zdobyć wiedzę jak uchronić się przed tym, co spotkało tego Koreańczyka.
Mam nadzieję, że to rozwiewa wątpliwości :)
A w Polandii jest/był AdWeb…mała różnica kulturowa.
Tyle, że historia AdWeb skończyła się bardzo smutnym akcentem – sugeruję poszukać po sieci, właściciel jak się okazało – ciężko chorował i jakiś czas temu zmarł.
Wręcz przeciwnie, ogromna różnica kulturowa. Nasza kultura a kultura krajów wschodnich w tym Korea/Chiny/Japonia to ogromna przepaść.
wyguglaj dwa słowa
„cherrypicking”
„oikofobia”
Nie wiem czy znasz przykre zakończenie tej sprawy, które zresztą zdaje się wiele tłumaczyć. Podobno o zmarłych powinno się mówić tylko dobrze lub wcale…
Podobno, ale dlaczego?
Ale wiesz że właściciel Adweb niedawno zmarł? Okazuje się że od dłuższego czasu zmagał się z chorobą atakującą układ nerwowy, w tym mózg. Ciężko powiedzieć na ile był sprawny umysłowo w czasie katastrofy Adwebu, skoro niecały rok później zmarł, mając raptem 39 lat.
IMHO stawia to całą sprawę w zupełnie innym świetle. Zamiast złego chamskiego janusza biznesu i pokrzywdzonego admina mógł być umierający, nie będący w pełni władz umysłowych właściciel firmy i admin który cisnął w tym momencie podwyżkę, oraz chaos w firmie z powodu takiego bezkrólewia.
Akurat wszystkie dowody przeczą takiemu rozwojowi wypadków.
Czy jest pewnosc ze faktycznie zmarl?
Tak.
Ta witryna jest nieosiągalna
Nie udało się znaleźć adresu DNS serwera notice.nayana.com.
już chyba nie można śledzić xD
Raz weszedlo mi a drugi raz nie weszedlo mi
Moim zdaniem to jak postąpił właściciel firmy to zasługa tylko i wyłącznie jego, a nie jego narodowości.
Pół miliona dolarów to około 2 milionów złotych.
Wiadomo skąd się ten ransomware wziął na serwerach?
A jak myślisz? :)
Tam jeszcze straszy: X-Powered-By PHP/5.1.4
Rozumiem, że różnice kulturowe ale z jakiegoś powodu śmierdzi mi tu przekrętem.
Korea południowa, jeden z bardziej rozwiniętych technologicznie krajów, a jednak władze nie mogą namierzyć przestępcy, który pozostaje W STAŁYM KONTAKCIE? Ja wiem, to nie takie proste. Ale god damn gdyby nie fakt, że firma traci mnóstwo kasy na informatykach którzy starają się ratować te dane to bym powiedział, że ktoś tu upłynnia firmę. Nie zdziwię się jeśli niedawno wykupili ubezpieczenie na takie wypadki.
Może się mylę, może to tylko cebula mi z butów wystaje…
Zauważ, że zawsze jeszcze lokalne władze mogą być w jakimś stopniu uwikłane w sytuację.
To jest kraj w specyficzny sposób skorumpowany, historię Daewoo poczytaj, ostatnio pani prezydent i wielka afera.
Nie rozumiem Koreańczyka. Nie musiał wszystkiego sprzedawać – to on jest ofiarą i takimi rzeczami powinna zająć się policja. Nawet jakby ostatecznie stracił firmę i wizerunek, to i tak zostałaby mu kasa na dalsze życie i otwarcie kolejnego interesu. Obecnie pewnie wszystko stracił.
Masz rację, ale w naszej kulturze. A to jest inny kraj… inny świat. W niektórych stronach nadal honor znaczy więcej niż pieniądze, a nawet życie… Przykra historia.
A jak doszło do tego, że 153 serwey zostało zaszyfrowanych i nikt tego nie zauważył w trakcie tego procederu (to nie jest proces krótkotrwały przecież)? Sam Erebus jest znany od 2016 roku. Wariant, który zaatakował Nayana, był/jest świeżym forkiem (na Linuksa), niemniej co do zasady działania wciąż jest taki sam. Nie było/nie ma w firmie monitoringu? A gdzie backup poza geograficzną siedzibą – chyba, że w liczbie 153 znalazł się i backup… Trochę dziwne, choć zachowanie samego właściciela (ani słowa o tamtejsztych adminach IT) godne pochwały.
Bardzo dobre pytanie. Podejrzewam ze moze robil zaszyfrowane kopie i zanim je podmienil, ale to by zwiekszylo ilosc danych dwa razy co najmniej….
A jak by to wyglądało w PL? W regulaminie usługi jest informacja, że odpowiedzialność względem kontrahenta czy usługobiorcy jest pełna, ale do wysokości kwoty zobowiązania. W przypadku problemów z firmą, ogłasza się upadłość a spółeczkę zamyka.
Biedny facet. Ale ma coś, czego w PL nie uświadczysz – honor.
Całą tą kwotę przeznaczyłbym temu kto wskaże z dowodami kto za tym stoi.
Firma hostingowa, która nie robi backupów? Baaardzo dziwne…
U nas by było „Nie mamy pańskich danych i co nam Pan zrobi?”
Dzisiaj na onecie artykuł o M.Trynkiewiczu, że policja zajeła mu pendrivy i inne nośniki (68 nośników). Pliki były zaszyfrowane. Po odszyfrowaniu, postawili mu zarzuty posiadania materiałów pedofilskich.
Pytanie – jak to odszyfrowali????
To jest fejk – pomyśl, morderca dzieci ma dostęp w wiezieniu do 68 nośników, laptopa, telefonu i ściągą i ogląda to sobie w celi?? komuś po prostu zależy by nie wyszedł do ludzi.
Trynkiewicz po tylu latach by nie wiedzial jak obslugiwac komputer nawet… W jego interesie bylo zeby wrocic do paki, bo jakby pracowal kto by go zatrudnil, jeszcze by ggo ktos zaciukal na wolnosci…
Można gdzieś zobaczyć nagranie z tego darmowego webinaru ?