El gigante de la computación en la nube, Rackspace, confirmó que los piratas informáticos accedieron a los datos de los clientes durante el ataque de ransomware del mes pasado.
El ataque, que Rackspace confirmó por primera vez el 6 de diciembre, afectó el entorno de correo electrónico de Exchange alojado de la empresa, lo que obligó al gigante web a cerrar el servicio de correo electrónico alojado después del incidente. En ese momento, Rackspace dijo que no sabía «qué datos, si es que hubo alguno, se vieron afectados».
En su última actualización de respuesta a incidentes publicada el viernes, Rackspace admitió que los piratas informáticos obtuvieron acceso a los datos personales de 27 clientes. Rackspace dijo que los piratas informáticos accedieron a archivos PST, que generalmente se usan para almacenar copias de seguridad y copias archivadas de correos electrónicos, eventos de calendario y contactos de cuentas de Exchange y bandejas de entrada de correo electrónico.
Rackspace dijo que alrededor de 30,000 clientes usaban su servicio de Exchange alojado, que ahora suspenderá, en el momento del ataque de ransomware.
“Ya hemos comunicado nuestros hallazgos a estos clientes de manera proactiva y, lo que es más importante, según CrowdStrike, no hay evidencia de que el actor de la amenaza haya visto, obtenido, utilizado indebidamente o difundido ninguno de los correos electrónicos o datos de los 27 clientes de Hosted Exchange en los PST en de cualquier manera”, dijo Rackspace. La compañía agregó que los clientes que no han sido contactados directamente pueden «estar seguros» de que los atacantes no accedieron a sus datos.
Rackspace atribuyó la violación al grupo de ransomware Play, una pandilla relativamente nueva que recientemente reivindicó ataques en la ciudad portuaria belga de Amberes y la cadena hotelera H-Hotels. Los datos robados de Rackspace no figuran actualmente en el sitio de fugas del grupo de ransomware, y no está claro si Rackspace pagó una demanda de rescate.
Según la actualización del informe de incidentes, los actores de amenazas de Play obtuvieron acceso a las redes de Rackspace al explotar CVE-2022-41080, una falla de día cero parcheada por Microsoft en noviembre que se ha relacionado con incidentes de ransomware anteriores.