0
0
A Rackspace concluiu sua investigação forense sobre o ataque de ransomware de 2 de dezembro que derrubou seu serviço Hosted Exchange Email e anunciou que interromperá essa oferta e fará a transição para o Microsoft 365 baseado em nuvem.
A empresa disse que não tem planos de reconstruir o ambiente do servidor Exchange hospedado, que está inativo desde o ataque, e que já estava no caminho de migrar para 365 antes do incidente do ransomware.
A Rackspace decidiu não aplicar o patch ProxyNotShell da Microsoft a seus servidores Exchange em meio a preocupações sobre relatos de que a atualização de software causou “erros de autenticação” que a empresa temia que pudesse derrubar seus servidores. Em vez disso, ele manteve as mitigações recomendadas pela Microsoft para as vulnerabilidades para impedir um ataque ProxyNotShell.
Essa estratégia desmoronou, pois o grupo Play ransomware conseguiu contornar as mitigações da Microsoft com uma nova exploração que abusava da vulnerabilidade CVE-2022-41080 que violou os sistemas Hosted Exchange da Rackspace.
“A Microsoft divulgou o CVE-2022-41080 como uma vulnerabilidade de escalonamento de privilégios e não incluiu notas por fazer parte de uma cadeia de execução remota de código que era explorável”, observou a Rackspace em um post hoje.
Play roubou dados de 27 clientes da Rackspace
De acordo com a empresa de serviços gerenciados de hospedagem em nuvem, os invasores roubaram as tabelas de armazenamento pessoal (PSTs) de 27 de seus cerca de 30.000 clientes do Hosted Exchange, mas não há evidências de que os hackers do Play tenham visto ou distribuído as informações roubadas.
“Os clientes que não foram contatados diretamente pela equipe da Rackspace podem ter certeza de que seus dados PST não foram acessados pelo agente da ameaça”, disse a empresa. “Lembramos que nenhum outro produto, plataforma, solução ou empresa da Rackspace foi afetado ou teve tempo de inatividade devido a este incidente.”
Enquanto isso, os esforços de recuperação de dados de e-mail continuam em andamento para seus clientes do Hosted Exchange, com mais da metade dos clientes afetados recuperando o acesso a alguns ou a todos os seus dados. Os dados recuperados estão disponíveis para download no portal do cliente, disse a empresa, acrescentando que planeja oferecer uma opção sob demanda para clientes que desejam acessar seus dados dessa maneira.
“No entanto, menos de 5% desses clientes realmente baixaram as caixas de correio que disponibilizamos”, afirmou a Rackspace em seu post. “Isso indica para nós que muitos de nossos clientes têm backup de dados localmente, arquivados ou não precisam dos dados históricos.”
A Rackspace disse que está contatando proativamente os clientes para os quais recuperou mais da metade de suas caixas de correio.
“Para verificar se seus dados históricos de e-mail estão disponíveis, siga a Etapa 2 em nossa página Recursos de recuperação de dados e veja se sua caixa de correio está pronta para download”, disse a empresa em seu post , que também fornece recursos adicionais.
FONTE: DARK READING