szukaj

19.06.2017 | 23:36

avatar

Adam Haertle

Sprzedał firmę hostingową by zapłacić milion dolarów okupu za ransomware

W dalekiej Korei Południowej rozgrywa się właśnie dramat właściciela firmy hostingowej Nayana, której wszystkie serwery zaszyfrował ransomware Erebus. Właściciel sprzedał firmę i oddał cały majątek by odzyskać dane klientów.

W ostatnią sobotę 10 czerwca ok. godziny 1:30 czasu lokalnego 3400 klientów południowokoreańskiej firmy hostingowej Nayana straciło dostęp do swoich danych. Firma poinformowała, że padła ofiarą ransowmare Erebus, które zaszyfrowało dyski 153 jej serwerów. Niestety wszelkie próby odzyskania danych zawiodły i właściciel firmy stanął przed trudnym wyborem.

W Korei Południowej robi się to inaczej

Nie znamy analogicznego przypadku z naszego rynku, ale przypuszczamy, że w Polsce ta historia mogła potoczyć sie inaczej. Spójrzmy zatem, co stało się w Korei Południowej. Atakujący postawili poprzeczkę bardzo wysoko, żądając na początek kwoty 10 BTC za odszyfrowanie każdego serwera. Oznaczało to prawie 4 milionów dolarów. Początkowe żądania szybko jednak obniżono do 5.4 BTC za każdy serwer a po kolejnej rundzie negocjacji do sumarycznej kwoty 550 BTC za całość danych.

Prezes firmy  Hwang Chilghong w dramatycznym apelu do włamywaczy poprosił o obniżenie kwoty okupu do 123 BTC, ponieważ jest to równowartość całego jego płynnego majątku (nieco ponad 300 000 dolarów). Gdy włamywacze odmówili, wystawił na sprzedaż całą firmę i otrzymał ofertę w wysokości równowartości ok. 226 BTC. Ostatecznie z włamywaczami uzgodniono zapłatę w kwocie 397.6 BTC, czyli nieco ponad miliona dolarów (lub ok. 4 milionów PLN). Firma została sprzedana a pierwsza rata okupu wpłacona.

Według najnowszych doniesień z firmowego bloga do tej pory uruchomiono dopiero z 6 serwerów a dane odzyskano z 49. Każdy serwer to ok. 2-5 dni na samo odszyfrowanie plików specjalnym dekrypterem plus dodatkowe 2-3 dni na korektę uprawnień do plików i weryfikację ich integralności. Trwa także współpraca z włamywaczami którzy pomagają w przypadku błędów w odszyfrowywaniu danych. Cały proces odzyskiwania danych i zakupu kluczy deszyfrujących podzielono na trzy etapy, by mieć pewność, że klucze deszyfrujące działają prawidłowo i dane można odzyskać. Aktualny postęp prac można śledzić na firmowym blogu Nayana (tłumacz Google radzi sobie przyzwoicie).

Skąd taka decyzja

Trudno nam powiedzieć, czy decyzja o sprzedaży firmy oraz całego prywatnego majątku jej prezesa (jak sam pisze – 20 lat pracy) wynikała tylko ze względów kulturowych. Szantażyści w swojej korespondencji wskazywali na możliwe pozwy klientów oraz wstyd ciągnący się za właścicielem. Trzeba mu przyznać, że w tej niezwykle trudnej sytuacji zachował twarz. Pozostaje już tylko dodać, że gdyby zdążył się wcześniej zapisać na nasz jutrzejszy darmowy webinar o kopiach bezpieczeństwa to cała historia mogła się potoczyć inaczej.

 

Powrót

Komentarze

  • avatar
    2017.06.19 23:56 belzebub

    Ostatnie zdanie trochę takie na siłę, nie wiadomo czy miało być śmieszne czy nie

    Odpowiedz
    • avatar
      2017.06.20 05:51 O

      Myślę, że ani nie miało być śmieszne, ani nieśmieszne. Miało przypomnieć o możliwości rejestracji na darmowy webinar o kopiach bezpieczeństwa, na którym potencjalnie można będzie zdobyć wiedzę jak uchronić się przed tym, co spotkało tego Koreańczyka.
      Mam nadzieję, że to rozwiewa wątpliwości :)

      Odpowiedz
  • avatar
    2017.06.20 00:04 Juszczyk

    A w Polandii jest/był AdWeb…mała różnica kulturowa.

    Odpowiedz
    • avatar
      2017.06.20 02:15 AdWeb c.d.

      Tyle, że historia AdWeb skończyła się bardzo smutnym akcentem – sugeruję poszukać po sieci, właściciel jak się okazało – ciężko chorował i jakiś czas temu zmarł.

      Odpowiedz
    • avatar
      2017.06.20 10:18 Japan

      Wręcz przeciwnie, ogromna różnica kulturowa. Nasza kultura a kultura krajów wschodnich w tym Korea/Chiny/Japonia to ogromna przepaść.

      Odpowiedz
    • avatar
      2017.06.20 11:31 tolep

      wyguglaj dwa słowa
      „cherrypicking”
      „oikofobia”

      Odpowiedz
    • avatar
      2017.06.20 12:51 Sławek

      Nie wiem czy znasz przykre zakończenie tej sprawy, które zresztą zdaje się wiele tłumaczyć. Podobno o zmarłych powinno się mówić tylko dobrze lub wcale…

      Odpowiedz
      • avatar
        2017.08.08 19:36 Edi von Canis

        Podobno, ale dlaczego?

        Odpowiedz
    • avatar
      2017.06.20 13:32 B&B

      Ale wiesz że właściciel Adweb niedawno zmarł? Okazuje się że od dłuższego czasu zmagał się z chorobą atakującą układ nerwowy, w tym mózg. Ciężko powiedzieć na ile był sprawny umysłowo w czasie katastrofy Adwebu, skoro niecały rok później zmarł, mając raptem 39 lat.
      IMHO stawia to całą sprawę w zupełnie innym świetle. Zamiast złego chamskiego janusza biznesu i pokrzywdzonego admina mógł być umierający, nie będący w pełni władz umysłowych właściciel firmy i admin który cisnął w tym momencie podwyżkę, oraz chaos w firmie z powodu takiego bezkrólewia.

      Odpowiedz
      • avatar
        2017.06.20 17:01 Damian

        Akurat wszystkie dowody przeczą takiemu rozwojowi wypadków.

        Odpowiedz
      • avatar
        2017.06.25 17:32 Kilas

        Czy jest pewnosc ze faktycznie zmarl?

        Odpowiedz
  • avatar
    2017.06.20 07:31 Krzysiek

    Ta witryna jest nieosiągalna
    Nie udało się znaleźć adresu DNS serwera notice.nayana.com.

    już chyba nie można śledzić xD

    Odpowiedz
    • avatar
      2017.06.27 11:21 Maciej

      Raz weszedlo mi a drugi raz nie weszedlo mi

      Odpowiedz
  • avatar
    2017.06.20 07:56 Artur

    Moim zdaniem to jak postąpił właściciel firmy to zasługa tylko i wyłącznie jego, a nie jego narodowości.

    Odpowiedz
  • avatar
    2017.06.20 08:23 FX trader

    Pół miliona dolarów to około 2 milionów złotych.

    Odpowiedz
  • avatar
    2017.06.20 09:34 aqz

    Wiadomo skąd się ten ransomware wziął na serwerach?

    Odpowiedz
    • avatar
      2017.06.20 14:18 Johnny Actualizator

      A jak myślisz? :)
      Tam jeszcze straszy: X-Powered-By PHP/5.1.4

      Odpowiedz
  • avatar
    2017.06.20 13:02 Janusz

    Rozumiem, że różnice kulturowe ale z jakiegoś powodu śmierdzi mi tu przekrętem.

    Korea południowa, jeden z bardziej rozwiniętych technologicznie krajów, a jednak władze nie mogą namierzyć przestępcy, który pozostaje W STAŁYM KONTAKCIE? Ja wiem, to nie takie proste. Ale god damn gdyby nie fakt, że firma traci mnóstwo kasy na informatykach którzy starają się ratować te dane to bym powiedział, że ktoś tu upłynnia firmę. Nie zdziwię się jeśli niedawno wykupili ubezpieczenie na takie wypadki.

    Może się mylę, może to tylko cebula mi z butów wystaje…

    Odpowiedz
    • avatar
      2017.06.20 16:39 wk

      Zauważ, że zawsze jeszcze lokalne władze mogą być w jakimś stopniu uwikłane w sytuację.

      Odpowiedz
    • avatar
      2017.06.21 00:24 Przemko

      To jest kraj w specyficzny sposób skorumpowany, historię Daewoo poczytaj, ostatnio pani prezydent i wielka afera.

      Odpowiedz
  • avatar
    2017.06.20 13:34 Piter

    Nie rozumiem Koreańczyka. Nie musiał wszystkiego sprzedawać – to on jest ofiarą i takimi rzeczami powinna zająć się policja. Nawet jakby ostatecznie stracił firmę i wizerunek, to i tak zostałaby mu kasa na dalsze życie i otwarcie kolejnego interesu. Obecnie pewnie wszystko stracił.

    Odpowiedz
    • avatar
      2017.06.20 16:37 wk

      Masz rację, ale w naszej kulturze. A to jest inny kraj… inny świat. W niektórych stronach nadal honor znaczy więcej niż pieniądze, a nawet życie… Przykra historia.

      Odpowiedz
  • avatar
    2017.06.20 16:54 Amadeusz

    A jak doszło do tego, że 153 serwey zostało zaszyfrowanych i nikt tego nie zauważył w trakcie tego procederu (to nie jest proces krótkotrwały przecież)? Sam Erebus jest znany od 2016 roku. Wariant, który zaatakował Nayana, był/jest świeżym forkiem (na Linuksa), niemniej co do zasady działania wciąż jest taki sam. Nie było/nie ma w firmie monitoringu? A gdzie backup poza geograficzną siedzibą – chyba, że w liczbie 153 znalazł się i backup… Trochę dziwne, choć zachowanie samego właściciela (ani słowa o tamtejsztych adminach IT) godne pochwały.

    Odpowiedz
    • avatar
      2017.06.27 11:25 Maciej

      Bardzo dobre pytanie. Podejrzewam ze moze robil zaszyfrowane kopie i zanim je podmienil, ale to by zwiekszylo ilosc danych dwa razy co najmniej….

      Odpowiedz
  • avatar
    2017.06.20 17:51 Daniel

    A jak by to wyglądało w PL? W regulaminie usługi jest informacja, że odpowiedzialność względem kontrahenta czy usługobiorcy jest pełna, ale do wysokości kwoty zobowiązania. W przypadku problemów z firmą, ogłasza się upadłość a spółeczkę zamyka.

    Odpowiedz
  • avatar
    2017.06.20 18:27 M.

    Biedny facet. Ale ma coś, czego w PL nie uświadczysz – honor.

    Odpowiedz
    • avatar
      2017.06.23 17:39 ris

      Całą tą kwotę przeznaczyłbym temu kto wskaże z dowodami kto za tym stoi.

      Odpowiedz
  • avatar
    2017.06.20 20:01 Alx

    Firma hostingowa, która nie robi backupów? Baaardzo dziwne…

    Odpowiedz
  • avatar
    2017.06.20 20:12 Korsarz

    U nas by było „Nie mamy pańskich danych i co nam Pan zrobi?”

    Odpowiedz
  • avatar
    2017.06.22 13:39 qwerty9876

    Dzisiaj na onecie artykuł o M.Trynkiewiczu, że policja zajeła mu pendrivy i inne nośniki (68 nośników). Pliki były zaszyfrowane. Po odszyfrowaniu, postawili mu zarzuty posiadania materiałów pedofilskich.

    Pytanie – jak to odszyfrowali????

    Odpowiedz
    • avatar
      2017.06.25 01:32 Anonimus

      To jest fejk – pomyśl, morderca dzieci ma dostęp w wiezieniu do 68 nośników, laptopa, telefonu i ściągą i ogląda to sobie w celi?? komuś po prostu zależy by nie wyszedł do ludzi.

      Odpowiedz
    • avatar
      2017.06.27 11:27 Maciej

      Trynkiewicz po tylu latach by nie wiedzial jak obslugiwac komputer nawet… W jego interesie bylo zeby wrocic do paki, bo jakby pracowal kto by go zatrudnil, jeszcze by ggo ktos zaciukal na wolnosci…

      Odpowiedz
  • avatar
    2017.07.04 00:26 web

    Można gdzieś zobaczyć nagranie z tego darmowego webinaru ?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Sprzedał firmę hostingową by zapłacić milion dolarów okupu za ransomware

Komentarze