0
0
Um ataque de ransomware em 2 de dezembro na Rackspace Technology – que a empresa de hospedagem em nuvem gerenciada levou vários dias para confirmar – está rapidamente se tornando um estudo de caso sobre a destruição que pode resultar de um único ataque bem posicionado a um provedor de serviços em nuvem.
O ataque interrompeu os serviços de e-mail de milhares de organizações, principalmente de pequeno e médio porte. A migração forçada para a plataforma de um concorrente deixou alguns clientes da Rackspace frustrados e desesperados por suporte da empresa. Também já provocou pelo menos uma ação coletiva e empurrou o preço das ações da Rackspace, de capital aberto, para baixo em quase 21% nos últimos cinco dias.
Divulgação atrasada?
“Embora seja possível que a causa raiz tenha sido um patch perdido ou configuração incorreta, não há informações suficientes publicamente disponíveis para dizer qual técnica os invasores usaram para violar o ambiente Rackspace”, disse Mike Parkin, engenheiro técnico sênior da Vulcan Cyber. “O problema maior é que a violação afetou vários clientes da Rackspace aqui, o que aponta um dos possíveis desafios de depender da infraestrutura em nuvem”. O ataque mostra como, se os agentes de ameaças podem comprometer ou prejudicar grandes provedores de serviços, eles podem afetar vários locatários de uma só vez.
A Rackspace divulgou pela primeira vez que algo estava errado às 2h20 EST em 2 de dezembro, com um anúncio de que estava investigando “um problema” que afetava o ambiente Hosted Exchange da empresa. Nas horas seguintes, a empresa continuou fornecendo atualizações sobre clientes relatando problemas de conectividade de e-mail e login, mas foi apenas quase um dia depois que a Rackspace identificou o problema como um “incidente de segurança”.
Naquela época, a Rackspace já havia encerrado seu ambiente Hosted Exchange alegando “falha significativa” e disse que não tinha uma estimativa de quando a empresa seria capaz de restaurar o serviço. A Rackspace alertou os clientes de que os esforços de restauração podem levar vários dias e aconselhou aqueles que procuram acesso imediato a serviços de e-mail a usar o Microsoft 365. “Sem nenhum custo para você, forneceremos acesso às licenças do Microsoft Exchange Plan 1 no Microsoft 365 até novo aviso”, disse a Rackspace em uma atualização de 3 de dezembro.
A empresa observou que a equipe de suporte da Rackspace estaria disponível para ajudar os administradores a configurar e configurar contas para suas organizações no Microsoft 365. Em atualizações subsequentes, a Rackspace disse que ajudou – e está ajudando – milhares de seus clientes a migrar para o Microsoft 365.
um grande desafio
Em 6 de dezembro, mais de quatro dias após seu primeiro alerta, a Rackspace identificou o problema que deixou seu ambiente Hosted Exchange offline como um ataque de ransomware. A empresa descreveu o incidente como isolado de seu serviço Exchange e disse que ainda está tentando determinar quais dados o ataque pode ter afetado. “Neste momento, não podemos fornecer um cronograma para a restauração do ambiente do Hosted Exchange”, disse a Rackspace. “Estamos trabalhando para fornecer aos clientes arquivos de caixas de entrada, quando disponíveis, para eventualmente importar para o Microsoft 365.”
A empresa reconheceu que mudar para o Microsoft 365 não será particularmente fácil para alguns de seus clientes e disse que reuniu todo o suporte possível para ajudar as organizações. “Reconhecemos que instalar e configurar o Microsoft 365 pode ser um desafio e adicionamos todos os recursos disponíveis para ajudar no suporte aos clientes”, afirmou. A Rackspace sugeriu que, como solução temporária, os clientes poderiam habilitar uma opção de encaminhamento, de modo que as mensagens destinadas à conta do Hosted Exchange fossem enviadas para um endereço de e-mail externo.
A Rackspace não divulgou quantas organizações o ataque afetou, se recebeu algum pedido de resgate ou pagou um resgate, ou se conseguiu identificar o invasor. A empresa não respondeu imediatamente a um pedido de Dark Reading buscando informações sobre essas questões. Em um comunicado à SEC de 6 de dezembro , a Rackspace alertou que o incidente poderia causar uma perda de receita para os negócios Hosted Exchange da empresa, de quase US$ 30 milhões. “Além disso, a empresa pode ter custos incrementais associados à sua resposta ao incidente.”
Os clientes estão furiosos e frustrados
Mensagens no Twitter sugerem que muitos clientes estão furiosos com a Rackspace sobre o incidente e como a empresa lidou com ele até agora. Muitos parecem frustrados com o que consideram a falta de transparência da Rackspace e os desafios que estão encontrando ao tentar colocar seus e-mails online novamente.
Um usuário do Twitter e aparente cliente da Rackspace queria saber sobre os dados de sua organização. “Pessoal, quando vocês vão nos dar acesso aos nossos dados”, postou o usuário. “Dizer-nos para irmos para M365 com uma nova lousa em branco não é aceitável. Ajude seus parceiros. Devolva-nos nossos dados.”
Outro usuário do Twitter sugeriu que os invasores da Rackspace também comprometeram os dados dos clientes no incidente com base no número de e-mails de phishing específicos da Rackspace que receberam nos últimos dias. “Suponho que todos os dados de seus clientes também foram violados e agora estão à venda na dark web. Seus clientes não são estúpidos”, disse o usuário.
Vários outros expressaram frustração com a incapacidade de obter suporte da Rackspace, e outros alegaram ter encerrado seu relacionamento com a empresa. “Vocês estão nos mantendo como reféns . O processo vai levá-los à falência”, observou outro aparente cliente da Rackspace.
Davis McCarthy, principal pesquisador de segurança da Valtix, diz que a violação é um lembrete de por que as organizações devem prestar atenção ao fato de que a segurança na nuvem é uma responsabilidade compartilhada . “Se um provedor de serviços falha em fornecer essa segurança, uma organização é exposta inconscientemente a ameaças que não podem mitigar por conta própria”, diz ele. “Ter um plano de gerenciamento de riscos que determine o impacto dessas incógnitas conhecidas ajudará as organizações a se recuperarem no pior cenário possível.”
Enquanto isso, o processo, movido pelo escritório de advocacia da Califórnia Cole & Van Note em nome dos clientes da Rackspace, acusou a empresa de ” negligência e violações relacionadas ” em torno da violação. “Que a Rackspace tenha oferecido atualizações opacas por dias e depois admitido em um evento de ransomware sem mais assistência ao cliente é ultrajante”, observou um comunicado anunciando o processo.
Os invasores exploraram as falhas do Exchange Server “ProxyNotShell”?
Nenhum detalhe está disponível publicamente sobre como os invasores podem ter violado o ambiente Hosted Exchange da Rackspace. Mas o pesquisador de segurança Kevin Beaumont disse que sua análise mostrou que pouco antes da invasão, o cluster Exchange da Rackspace tinha versões da tecnologia que pareciam vulneráveis às falhas de dia zero ” ProxyNotShell ” no Exchange Server no início deste ano.
“É possível que a violação da Rackspace tenha ocorrido devido a outros problemas ”, disse Beaumont. Mas a violação é um lembrete geral de por que os administradores do Exchange Server precisam aplicar os patches da Microsoft para as falhas, acrescentou. “Espero ataques contínuos a organizações via Microsoft Exchange até 2023.”
FONTE: DARK READING