.
A Rackspace confirmou que a gangue Play ransomware estava por trás do hacking do mês passado e disse que não trará de volta seu serviço de e-mail hospedado do Microsoft Exchange, pois continua trabalhando para recuperar os dados de e-mail dos clientes perdidos no ataque de ransomware de 2 de dezembro.
A Rackspace disse que “mais da metade” de seus clientes que perderam seu serviço de e-mail hospedado no mês passado agora têm “alguns ou todos os seus dados disponíveis para download”, em seu atualização de status mais recente e final, postado hoje. Mas os clientes não estão exatamente aproveitando a chance de acessar esses dados, continuou a atualização:
A Rackspace também divulgou algumas novas informações sobre quantos clientes foram atingidos pelo fiasco do e-mail.
“Dos quase 30.000 clientes no ambiente de e-mail do Hosted Exchange no momento do ataque, a investigação forense determinou que o agente da ameaça acessou uma tabela de armazenamento pessoal (PST) de 27 clientes do Hosted Exchange”, de acordo com a atualização.
E, acrescentou, de acordo com a CrowdStrike, que a Rackspace contratou para ajudar no esforço de recuperação e remediação, “não há nenhuma evidência de que o agente da ameaça realmente tenha visualizado, obtido, usado indevidamente ou disseminado qualquer um dos 27 clientes do Hosted Exchange. e-mails ou dados nos PSTs de qualquer forma.”
A Rackspace não divulgou o pedido de resgate, nem se pagou aos criminosos para descriptografar os dados roubados.
Ele também confirmou que o produto de e-mail Exchange hospedado, que representa apenas 1% da receita anual da empresa, não será reconstruído.
“Mesmo antes do recente incidente de segurança, o ambiente de e-mail do Hosted Exchange já havia sido planejado para migração para o Microsoft 365, que possui um modelo de preços mais flexível, além de recursos e funcionalidades mais modernos”, disse a Rackspace. “Não haverá aumento de preço para nossos clientes do Hosted Exchange se eles optarem por migrar para o Microsoft 365 e selecionar um plano com os mesmos recursos que possuem atualmente”.
Um mês e contando…
Como uma atualização para os leitores que não são parte do 1 por cento dos clientes da Rackspace afetados pelo fiasco do e-mail. Em 2 de dezembro de 2022, um ataque cibernético derrubou o serviço de e-mail Microsoft Exchange hospedado pela empresa.
Quatro dias depois, a Rackspace admitiu um infecção por ransomware era o culpado e, nas semanas seguintes, a empresa transferiu os clientes para o Microsoft 365 baseado em nuvem e trabalhando para recuperar seus dados de e-mail anteriores a 2 de dezembro, que, para alguns clientes, incluem uma década de mensagens e contatos antigos.
A Rackspace ainda não informou quantos clientes foram afetados pela interrupção do e-mail ou quando espera concluir o processo de recuperação de dados.
“Como o processo continua em andamento, queremos lembrar aos clientes que, devido à natureza do incidente, certos elementos de e-mail e outros dados podem permanecer indisponíveis para nossos clientes”, alertou a Rackspace em um comunicado de 27 de dezembro de 2022. atualizar.
Jogue com um dia zero
A empresa culpou a Play, uma gangue de ransomware mais recentepela invasão, e disse que o grupo usou um exploit previamente desconhecido para invadir seu ambiente.
“Agora estamos altamente confiantes de que a causa raiz neste caso pertence a uma exploração de dia zero associada ao CVE-2022-41080”, disse a diretora de segurança da Rackspace, Karen O’Reilly-Smith. Strong The One.
CrowdStrike disse isso descobri o novo exploit método durante “investigações recentes em várias invasões de ransomware Play, onde o vetor de entrada comum foi confirmado como sendo o Microsoft Exchange”.
As cadeias de ataque CVE-2022-41080 e CVE-2022-41082 para execução remota de código (RCE) por meio do Outlook Web Access. Isso permite que criminosos ignorem as mitigações de regravação de URL para o ponto de extremidade de descoberta automática fornecido pela Microsoft em resposta a ProxyNotShell.
CVE-2022-41082 é um dos dois bugs do Exchange Server apelidados de ProxyNotShell que foram explorados desde agosto. A Microsoft disse que finalmente corrigiu ambos em Patch Tuesday de novembro evento.
A Microsoft também divulgou CVE-2022-41080, que não fazia parte do ProxyNotShell, em novembro. Na época, no entanto, ele o listou como um bug de escalonamento de privilégios “e não incluiu notas por fazer parte de uma cadeia de execução remota de código que era explorável”, disse O’Reilly-Smith, acrescentando que é por isso que a Rackspace insistiu , apesar de amplamente especulaçãoque o ataque não estava relacionado a nenhuma vulnerabilidade do ProxyNotShell.
“Embora tenha havido especulações generalizadas de que a causa raiz deste incidente foi o resultado da exploração do ProxyNotShell, agora podemos afirmar definitivamente que não é preciso”, disse O’Reilly-Smith. “Fomos diligentes com esta investigação – e priorizando a exatidão e a precisão em tudo o que dizemos e fazemos, porque nossa credibilidade é importante para nós na Rackspace”.
“Agradecemos à CrowdStrike por seu trabalho minucioso na descoberta dessa exploração de dia zero durante esta investigação e compartilharemos informações mais detalhadas com nossos clientes e colegas da comunidade de segurança”, acrescentou ela. ®
.
