pasado jueves 5 de diciembre, CyrusOne confirmó un ataque de ransomware en su división de servicios administrados al inicio de la semana, el cual afectó a seis clientes que eran atendidos en su centro de datos localizado en Wappingers Falls, Nueva York.

De acuerdo con un informe de ZDNet, el ataque ocurrió el martes y fue causado por Sodinokibi, una versión de REvil. Esta familia de ransomware apareció por primera vez en abril de 2019 e inicialmente solo atacaba a servidores WebLogic de Oracle. Sin embargo, ha evolucionado para incluir otros vectores de ataque. Además, ha estado implicada en ataques este año contra más de 23 administraciones municipales en Texas y más de 400 oficinas dentales en Estados Unidos.

Según una copia de la nota del rescate, el ataque era dirigido contra la red de CyrusOne y hasta ahora se desconoce el punto de entrada.

Uno de los clientes afectados por la infección es la compaña FIA Tech, que en un comunicado dijo que “el ataque estuvo enfocado en interrumpir las operaciones, con el objetivo de obtener un rescate de su proveedor de centro de datos”. Aunque FIA Tech no mencionó el nombre de su proveedor, una búsqueda realizada por ZDNet identificó a CyrusOne.

SCILabs recomienda tener definida una estrategia de respuesta y recuperación, adicional a las de detección y protección.

Fuentes:

https://www.zdnet.com/article/ransomware-attack-hits-major-us-data-center-provider/

https://www.datacenterknowledge.com/cyrusone/cyrusone-confirms-ransomware-attack-says-six-customers-affected