Cibercriminales destruyen toda la data y backups de un proveedor de Email

Estándar

¿Qué podría ser más aterrador que un proveedor de máquinas virtuales le informe a todos sus clientes que sus datos se han ido, que todos los archivos y la data de los servidores de respaldo han sido eliminados por completo?

Esta es la peor pesadilla que un administrador de sistemas podría tener.

Pero eso es precisamente lo que acaba de suceder esta semana con la compañía VFEmail.net, un proveedor de correo electrónico seguro con sede en los EE. UU. Que perdió todos los datos y archivos de respaldo para sus usuarios después de que cibercriminales aún desconocidos destruyeran toda su infraestructura en los EE. UU., eliminando casi dos décadas de datos y respaldos. En cuestión de pocas horas y sin motivo aparente.

Iniciado en 2001 por Rick Romero, VFEmail proporciona servicios de correo electrónico seguros y privados a empresas y usuarios finales, tanto gratuitos como de pago.

Al describir el ataque como “catastrófico”, el proveedor de servicios de correo electrónico centrado en la privacidad reveló que el ataque se produjo el 11 de febrero y que “todos los datos” en sus servidores en los EE. UU., tanto el sistema primario como el de copia de seguridad, han sido eliminados por completo y parece que no hay forma de recuperar dicha data.

El equipo de VFEmail detectó el ataque el 11 de febrero después de que notara que todos los servidores de su servicio se desconectaron sin previo aviso y ha publicado la siguiente cronología del ataque:

A partir de las 5am 2/11/19
www.vfemail.net y mail.vfemail.net no están disponibles actualmente.

Hemos sufrido una destrucción catastrófica a manos de un hacker, visto por última vez como [email protected]

Esta persona ha destruido todos los datos en los EE. UU., Tanto los sistemas primarios como los de respaldo. Estamos trabajando para recuperar los datos que podamos.

Nuevas actualizaciones 2/11/19 6pm CST:

El correo entrante ahora se está entregando.

El correo web está listo. Los buzones de notas se crean en la nueva entrega de correo. Si no puede iniciar sesión, es posible que no haya recibido el correo.

Los buzones son nuevos, no hay subcarpetas.

No hay filtros en su lugar. Si creó un filtro con Horde, inicie sesión en Horde, cree las carpetas que necesite.

Haga clic en Filtro, Haga clic en Script, luego haga clic en ‘Activar Script’.

No hay análisis de correo no deseado en este momento: el correo entrante puede analizarse según el estado del DNS.

Los usuarios gratuitos no deben intentar enviar correos electrónicos, actualmente no existe un mecanismo de entrega para cuentas gratuitas. Las cuentas pagadas deben ser utilizables, incluidos los contactos y calendarios de Horde / Roundcube.

El correo electrónico alojado de NL está disponible (si compró y solicitó un Migraiton).

En este momento no estoy seguro del estado del correo existente para los usuarios de EE. UU. Si tiene su propio cliente de correo electrónico, NO INTENTE HACER QUE FUNCIONE.

Si vuelve a conectar su cliente a su nuevo buzón, se perderá todo su correo local.

Después de dos horas, la compañía informó que los atacantes habían sido detectados “en medio de formatear su servidor de respaldo“, diciendo que “temen que todos los datos basados en los EE. UU. puedan perderse“.

Sin embargo, poco después, VFEmail confirmó que “todos los discos de cada servidor” habían sido eliminados, prácticamente borrando toda la infraestructura de la empresa, incluidos los hosts de correo, los hosts de máquinas virtuales y un clúster de servidores SQL, en unas pocas horas.

Curiosamente, no todas las máquinas virtuales compartían la misma autenticación, pero todas fueron destruidas“, explicó VFEmail en su Twitter. “Esto fue más que una contraseña múltiple a través del exploit ssh, y no hubo rescate. Solo atacar y destruir“, un ejemplo raro de un ataque puramente destructivo.

Aunque aún no está claro quién estuvo detrás de este ataque destructivo y cómo se realizó la piratería, una declaración publicada en el sitio web de la compañía apuntaba a una dirección IP 94.155.49.9 y el nombre de usuario “aktv, “que parece estar registrado en Bulgaria.

Romero cree que el pirata informático detrás de la dirección IP mencionada más probablemente usó una máquina virtual y múltiples medios de acceso a la infraestructura de VFEmail para llevar a cabo el ataque y como resultado, ningún método de protección, como la autenticación de dos factores, podría haber protegido VFEmail de la intrusión.

Esta no es la primera vez que la compañía ha sido atacada. En 2015, un grupo de piratas informáticos conocido como el “Colectivo Armada”, que también atacó a Protonmail, Hushmail y Runbox, lanzó un ataque DDoS contra VFEmail después de que se negara a pagar un rescate.