Um hacker invadiu os servidores da VFEmail, um provedor de e-Mail da cidade de Milwaukee (Wisconsin, EUA) e apagou tudo. Não somente os bancos de dados: ele formatou os discos, apagou as máquinas virtuais, destruiu tudo segundo o dono da empresa, o norte-americano Rick Romero. A VFEmail não é um serviço de e-Mail comum: ela fornece endereços de e-mail anônimos, gratuitamente e mediante pagamento.
O ataque foi curto mas de uma eficiência impressionante, e parece ter começado ontem, segunda-feira, 11 de fevereiro. No Twitter da empresa, foi feito o seguinte post (veja ao lado): “Não parece bom. Todos os sistemas expostos ao exterior, com diferentes sistemas operacionais e autenticação remota, em vários datacenters, caíram”.
Enquanto isso, vários clientes publicavam tweets reclamando da falta de acesso ao serviço. Duas horas após essa mensagem, o Twitter da VFEmail disse que o atacante foi localizado fazendo “formatação completa do servidor de backup”, rodando comandos Linux. Estava usando, segundo o tweet, um endereço IP de um provedor de serviços de Sofia, Bulgária, o que pode ter sido um mero intermediário, provavelmente usado para despistar. A empresa acrescentou: “Neste momento, o invasor formatou todos os discos em todos os servidores. Todas as VMs foram perdidas. Todos os servidores foram perdidos, todos os servidores de backup foram perdidos”. Essas máquinas estavam em provedores nos EUA.
Romero acrescentou que os servidores hospedados na Holanda estavam íntegros, mas com um conjunto de dados muito menor do que nos EUA, de modo que “os backups de NL (Holanda) estavam intactos e devem estar lá”.
A retomada das atividade está ocorrendo gradualmente, justamente graças aos sistemas hospedados na Holanda e seus backups. A VFEmail também planeja examinar o servidor de arquivos cuja formatação foi possível interromper, para ver se pode ser restaurado.
Neste cenário não houve pedido de resgate, apenas ataque e destruição. Não parece ser uma operação amadora porque, conforme enfatizado pelo operador do VFEmail, “as VMs não compartilharam a mesma autenticação, mas todas foram destruídas. Foi mais do que uma exploração baseada em múltiplas senhas via ssh “. Não foi o primeiro ataque. Os anteriores foram:
- 2015 – um grupo exigiu pagamento de Romero, ele não pagou. Sofreu um ataque de DDoS pesado
- 2017 – outro DDoS, tão pesado que o provedor expulsou a VFEmail e ela teve de fazer hospedagem em outro lugar
- 2018 – em dezembro mais um ataque de DDoS
