Rackspace heeft zijn forensisch onderzoek afgerond naar de ransomware-aanval van 2 december die zijn Hosted Exchange Email-service platlegde en kondigde aan dat het dat aanbod zal stopzetten en zal overstappen naar cloudgebaseerde Microsoft 365.
Het bedrijf zei dat het geen plannen heeft om de gehoste Exchange-serveromgeving opnieuw op te bouwen, die sinds de aanval niet werkte, en dat het al op schema lag om naar 365 te migreren vóór het ransomware-incident.
Rackspace had besloten de ProxyNotShell-patch van Microsoft niet toe te passen naar zijn Exchange-servers te midden van zorgen over berichten dat de software-update "authenticatiefouten" veroorzaakte waarvan het bedrijf vreesde dat ze zijn servers zouden kunnen uitschakelen. In plaats daarvan bleef het bij de door Microsoft aanbevolen oplossingen voor de kwetsbaarheden om een ProxyNotShell-aanval te dwarsbomen.
Die strategie viel in duigen, omdat de Play-ransomwaregroep de maatregelen van Microsoft kon omzeilen met een nieuwe exploit die misbruik maakte van de CVE-2022-41080 kwetsbaarheid die de Hosted Exchange-systemen van Rackspace heeft geschonden. "Microsoft heeft CVE-2022-41080 onthuld als een beveiligingslek met betrekking tot privilege-escalatie en heeft geen opmerkingen toegevoegd over het feit dat het deel uitmaakte van een Remote Code Execution-keten die kon worden misbruikt", schrijft Rackspace vandaag in een bericht.
Play heeft gegevens gestolen van 27 Rackspace-klanten
Volgens het beheerde cloudhostingservicebedrijf hebben de aanvallers de Personal Storage Tables (PST's) van 27 van de ongeveer 30,000 Hosted Exchange-klanten buitgemaakt, maar er is geen bewijs dat de Play-hackers de gestolen informatie ooit hebben bekeken of verspreid. "Klanten die niet rechtstreeks door het Rackspace-team zijn gecontacteerd, kunnen er zeker van zijn dat hun PST-gegevens niet zijn geopend door de bedreigingsactor", aldus het bedrijf.
"Ter herinnering: geen andere Rackspace-producten, -platforms, -oplossingen of -bedrijven werden getroffen of ondervonden downtime als gevolg van dit incident", stelt Rackspace.
Ondertussen blijven de inspanningen voor het herstellen van e-mailgegevens aan de gang voor zijn Hosted Exchange-klanten. “Vanaf vandaag heeft meer dan de helft van de getroffen klanten een deel van of al hun data beschikbaar om te downloaden. Minder dan 5% van die klanten heeft echter de door ons beschikbaar gestelde mailboxen daadwerkelijk gedownload. Dit geeft ons aan dat veel van onze klanten gegevens lokaal hebben geback-upt, gearchiveerd of anderszins de historische gegevens niet nodig hebben, "zei Rackspace. Het bedrijf biedt ook een on-demand-optie voor klanten die hun gegevens willen downloaden.
Rackspace zei dat het contact opneemt met klanten waarvan het meer dan de helft van hun mailboxen heeft hersteld; hun herstelde gegevens zijn beschikbaar via het klantenportaal. “Om te controleren of uw historische e-mailgegevens beschikbaar zijn, volgt u stap 2 op onze Data Recovery Resources-pagina (https://www.rackspace.com/hosted-exchange-incident-data-recovery-resources) en kijkt u of uw mailbox klaar om te downloaden”, aldus het bedrijf zijn post, die ook extra bronnen biedt.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/rackspace-discontinues-email-service-downed-in-ransomware-attack