Los piratas informáticos detrás del ataque de ransomware contra el proveedor de computación en la nube Rackspace también accedieron a los datos de correo electrónico de un pequeño subconjunto de clientes.
Los atacantes tuvieron acceso a la tabla de almacenamiento personal de 27 clientes de Hosted Exchange en Rackspace, informó la empresa.(Se abre en una nueva ventana) el jueves. La misma tabla de almacenamiento contiene eventos de calendario, contactos y mensajes de correo electrónico, lo que pone a los clientes afectados en grave riesgo de exposición de datos.
Sin embargo, Rackspace agregó: «No hay evidencia de que el actor de la amenaza realmente haya visto, obtenido, utilizado indebidamente o difundido correos electrónicos o datos en los PST de ninguno de los 27 clientes de Hosted Exchange de ninguna manera», citando hallazgos forenses de ciberseguridad de Crowdstrike.
Rackspace, con sede en Texas, proporcionó la actualización un mes después de que un ataque de ransomware interrumpiera el acceso a su negocio Hosted Exchange, que ofrece servicios de correo electrónico basados en la nube a 30 000 clientes. Rackspace ahora culpa del ataque a una pandilla de ransomware relativamente nueva llamada Play.
La investigación forense de la empresa encontró que el grupo usó un método de ataque previamente desconocido en Microsoft Exchange Server para obtener acceso a los sistemas Hosted Exchange de Rackspace. El método de ataque en realidad está conectado al CVE-2022-41080(Se abre en una nueva ventana) vulnerabilidad, que se reveló en noviembre y puede otorgar a un pirata informático privilegios elevados una vez dentro de un entorno de Exchange Server. Sin embargo, Rackspace descubrió que los piratas informáticos también usaron la falla para ayudarlos a ejecutar código informático falso en los sistemas de la empresa.
Crowdstrike visto(Se abre en una nueva ventana) la banda de ransomware Play explota el mismo vector de ataque para atacar a las víctimas. Sin embargo, señaló que la instalación de un parche de noviembre puede detener la amenaza, un indicador de que Rackspace tardó en instalar actualizaciones de seguridad para sus sistemas Hosted Exchange.
En respuesta a la infracción, Rackspace dice que abandonará su entorno de correo electrónico Hosted Exchange. En cambio, la empresa continúa con los planes existentes para migrar las cuentas de los clientes a Microsoft 365. Mientras tanto, Rackspace Email se ofrecerá como una alternativa a los clientes que deseen permanecer fuera de Microsoft 365.
Recomendado por Nuestros Editores
“Si bien el entorno de correo electrónico de Hosted Exchange era una pequeña parte de nuestro negocio, representa a miles de clientes leales y de larga data a quienes valoramos profundamente”, agregó la compañía.
Además, Rackspace ha estado trabajando para recuperar las bases de datos de correo electrónico de los clientes afectados. “A partir de hoy, más de la mitad de los clientes afectados tienen algunos o todos sus datos disponibles para descargar”, dijo la compañía. “Sin embargo, menos del 5% de esos clientes han descargado los buzones que hemos puesto a disposición. Esto nos indica que muchos de nuestros clientes tienen datos respaldados localmente, archivados o no necesitan los datos históricos”.
No está claro si Rackspace alguna vez pagó a la banda de ransomware. Pero no se han detectado rastros de los piratas informáticos en los sistemas de la empresa desde el 2 de diciembre.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.