El reciente ataque de ransomware dirigido a Rackspace fue realizado por un grupo de ciberdelincuencia llamado Play utilizando un nuevo método de explotación, reveló la compañía de la nube esta semana.

Rackspace le dijo a los medios que se utilizó un exploit previamente desconocido para obtener acceso a su red y robar datos. Aparentemente, el incidente involucró las credenciales de un cliente comprometidas, lo que les dio a los atacantes acceso a uno de sus servidores el 29 de noviembre.

El incidente obligó a Rackspace a cerrar su entorno Hosted Exchange. La compañía ahora está en proceso de recuperar los datos almacenados en los servidores de Exchange afectados.

Se han presentado varias demandas colectivas contra Rackspace en respuesta a la infracción y las acciones de la empresa han tenido una tendencia a la baja desde que se reveló el incidente.

Los investigadores de ciberseguridad Anis Haboubi y Dominic Alvieri proporcionaron a SecurityWeek las direcciones que apuntan al sitio web de fugas basado en Tor de la operación de ransomware Play. No se menciona Rackspace en el sitio al momento de escribir este artículo.

Rackspace no ha dicho si ha pagado un rescate a los ciberdelincuentes.

El ransomware Play (también conocido como PlayCrypt) surgió en junio de 2022. Los ciberdelincuentes están implementando malware de cifrado de archivos en sistemas comprometidos y robando datos de las víctimas en un esfuerzo por aumentar sus posibilidades de recibir pagos.

Según datos del proyecto de inteligencia web profunda DarkFeed, Play fue la sexta operación de ransomware más activa en diciembre de 2022, con 16 nuevas víctimas anunciadas el mes pasado.

CrowdStrike informó en diciembre que se habían observado ataques recientes de ransomware de Play dirigidos a servidores de Microsoft Exchange utilizando una nueva cadena de explotación que omitió las mitigaciones oficiales para las fallas rastreadas como ProxyNotShell.

La nueva cadena de explotación, denominada OWASSRF porque apunta a la aplicación web de Outlook (OWA), aprovecha una de las vulnerabilidades de ProxyNotShell y CVE-2022-41080, una falla de Exchange Server abordada por Microsoft en noviembre de 2022, junto con ProxyNotShell.

CrowdStrike no nombró a Rackspace en su publicación de blog, pero Rackspace ahora ha confirmado que tiene mucha confianza en que la explotación de CVE-2022-41080 estuvo involucrada en el ataque.

Las vulnerabilidades individuales explotadas en el ataque eran conocidas y Microsoft las parchó en noviembre, antes del ataque a Rackspace, pero la forma en que se encadenaron era nueva.

Un asesor externo de Rackspace reveló que la empresa de nube había aplicado mitigaciones de ProxyNotShell en septiembre, cuando salieron a la luz las vulnerabilidades, pero no instaló los parches de noviembre debido a preocupaciones relacionadas con los problemas operativos informados causados por los parches.

Además, los representantes de Rackspace dijeron que el aviso de Microsoft para CVE-2022-41080 no mencionaba la ejecución remota de código. Sin embargo, vale la pena señalar que Microsoft asignó al problema una calificación de explotabilidad de “explotación más probable”.

Fuente: securityweek.com