Yönetilen bulut barındırma şirketinin onaylaması birkaç gün sürdüğü Rackspace Technology’de 2 Aralık’ta gerçekleşen bir fidye yazılımı saldırısı, hızla bir bulut hizmeti sağlayıcısına yapılan iyi yerleştirilmiş tek bir saldırıdan kaynaklanabilecek tahribatla ilgili bir örnek olay incelemesi haline geliyor.
Saldırı, çoğunluğu küçük ve orta ölçekli binlerce kuruluşun e-posta hizmetlerini kesintiye uğrattı. Bir rakibin platformuna zorunlu geçiş, bazı Rackspace müşterilerini hüsrana uğrattı ve şirketten destek almak için çaresiz bıraktı. Ayrıca şimdiden en az bir toplu dava açtı ve halka açık Rackspace’in hisse fiyatını son beş gün içinde yaklaşık %21 düşürdü.
Gecikmeli Açıklama?
Vulcan Cyber’in kıdemli teknik mühendisi Mike Parkin, “Temel nedenin gözden kaçan bir yama veya yanlış yapılandırma olması mümkün olsa da, saldırganların Rackspace ortamını ihlal etmek için hangi tekniği kullandıklarını söylemek için kamuya açık yeterli bilgi yok” diyor. “Daha büyük sorun, ihlalin buradaki birden fazla Rackspace müşterisini etkilemesi ve bu da bulut altyapısına güvenmenin olası zorluklarından birine işaret ediyor.” Saldırı, tehdit aktörlerinin büyük hizmet sağlayıcıları tehlikeye atması veya devre dışı bırakması durumunda aynı anda birden fazla kiracıyı nasıl etkileyebileceğini gösteriyor.
Rackspace ilk olarak 2 Aralık EST saatiyle 02:20’de şirketin Barındırılan Exchange ortamını etkileyen “bir sorunu” araştırdığını duyurarak bir şeylerin ters gittiğini açıkladı. Sonraki birkaç saat boyunca şirket, güncellemeler sağlamak e-posta bağlantısı ve oturum açma sorunları bildiren müşteriler hakkında, ancak Rackspace sorunu bir “güvenlik olayı” olarak tanımlaması neredeyse tam bir gün sonrasına kadar mümkün olmadı.
O zamana kadar Rackspace, Barındırılan Exchange ortamını “önemli bir başarısızlık” nedeniyle çoktan kapatmıştı ve şirketin hizmeti ne zaman geri yükleyebileceğine dair bir tahmini olmadığını söyledi. Rackspace, müşterileri geri yükleme çalışmalarının birkaç gün sürebileceği konusunda uyardı ve e-posta hizmetlerine anında erişim arayanlara bunun yerine Microsoft 365 kullanmalarını tavsiye etti. Rackspace 3 Aralık’ta yaptığı bir güncellemede “Size ücretsiz olarak, bir sonraki duyuruya kadar Microsoft 365’te Microsoft Exchange Plan 1 lisanslarına erişim sağlayacağız” dedi.
Şirket, Rackspace’in destek ekibinin yöneticilerin Microsoft 365’te kuruluşları için hesapları yapılandırmasına ve kurmasına yardımcı olmak için hazır olacağını belirtti. Sonraki güncellemelerde Rackspace, binlerce müşterisinin Microsoft 365’e geçmesine yardımcı olduğunu ve yardımcı olduğunu söyledi.
Büyük Bir Zorluk
6 Aralık’ta, ilk uyarısından dört günden fazla bir süre sonra Rackspace, Barındırılan Exchange ortamını çevrimdışı duruma getiren sorunu bir fidye yazılımı saldırısı olarak tanımladı. Şirket, olayı Exchange hizmetinden izole edilmiş olarak nitelendirdi ve hala saldırının hangi verileri etkilemiş olabileceğini belirlemeye çalıştığını söyledi. Rackspace, “Şu anda Barındırılan Exchange ortamının geri yüklenmesi için bir zaman çizelgesi veremiyoruz.” dedi. “Sonunda Microsoft 365’e aktarmak üzere, mümkün olduğunda müşterilere gelen kutusu arşivleri sağlamak için çalışıyoruz.”
Şirket, Microsoft 365’e geçişin bazı müşterileri için özellikle kolay olmayacağını kabul etti ve kuruluşlara yardımcı olmak için alabileceği tüm desteği topladığını söyledi. “Microsoft 365’i kurmanın ve yapılandırmanın zor olabileceğinin farkındayız ve müşterilerimizi desteklemek için mevcut tüm kaynakları ekledik” dedi. Rackspace, geçici bir çözüm olarak müşterilerin bir yönlendirme seçeneğini etkinleştirebileceklerini, böylece Barındırılan Exchange hesaplarına yönlendirilen postaların bunun yerine harici bir e-posta adresine gidebileceğini önerdi.
Rackspace, saldırının kaç kuruluşu etkilediğini, herhangi bir fidye talebi alıp almadığını veya fidye ödeyip ödemediğini veya saldırganı tespit edip edemediğini açıklamadı. Şirket, bu konularda bilgi isteyen bir Dark Reading talebine hemen yanıt vermedi. 6 Aralık’ta. SEC dosyalama, Rackspace, olayın şirketin yaklaşık 30 milyon dolarlık Barındırılan Borsa işi için gelir kaybına neden olabileceği konusunda uyardı. “Ayrıca, Şirketin olaya müdahalesiyle ilgili artan maliyetleri olabilir.”
Müşteriler Öfkeli ve Sinirli
Twitter’daki mesajlar, birçok müşterinin olay ve şirketin şimdiye kadar olayı ele alması nedeniyle Rackspace’e öfkeli olduğunu gösteriyor. Birçoğu, Rackspace’in şeffaf olmaması olarak algıladıkları durum ve e-postalarını yeniden çevrimiçi hale getirmeye çalışırken karşılaştıkları zorluklar karşısında hayal kırıklığına uğramış görünüyor.
Bir Twitter kullanıcısı ve görünürde Rackspace müşterisi, kuruluşlarının verilerini öğrenmek istedi. “Arkadaşlar, verilerimize erişmemize ne zaman izin vereceksiniz?” kullanıcı gönderildi. “Yeni bir boş sayfa ile M365’e gitmemizi söylemek kabul edilemez. Ortaklarınıza yardım edin. Bize verilerimizi geri verin.”
Başka bir Twitter kullanıcısı, Rackspace saldırganlarının da güvenliği ihlal edilmiş müşteri verileri olayda, son birkaç gün içinde aldıkları Rackspace’e özgü kimlik avı e-postalarının sayısına bağlı olarak. Kullanıcı, “Tüm müşteri verilerinizin de ihlal edildiğini ve şu anda karanlık ağda satıldığını varsayıyorum. Müşterileriniz aptal değil” dedi.
Birkaç kişi, Rackspace’ten destek alamamaktan duydukları hayal kırıklığını dile getirdi ve diğerleri, şirketle ilişkilerini sonlandırdıklarını iddia etti. “Sen bizi rehin tutuyor. Dava sizi iflasa götürecek,” diye belirtti başka bir Rackspace müşterisi.
Valtix’in baş güvenlik araştırmacısı Davis McCarthy, ihlalin kuruluşların bulutta güvenliğin paylaşılan bir sorumluluk olduğu gerçeğine neden dikkat etmesi gerektiğini hatırlattığını söylüyor. “Bir hizmet sağlayıcı bu güvenliği sağlayamazsa, bir kuruluş bilmeden kendilerinin hafifletemeyeceği tehditlere maruz kalır” diyor. “Bilinen bilinmeyenlerin etkisini belirleyen bir risk yönetimi planına sahip olmak, kuruluşların bu en kötü durum senaryosunda toparlanmasına yardımcı olacaktır.”
Bu arada California hukuk firması Cole & Van Note’un Rackspace müşterileri adına açtığı davada şirketi “ihmal ve ilgili ihlallerDavayı açıklayan bir açıklamada, “Rackspace’in günlerce opak güncellemeler sunması, ardından daha fazla müşteri yardımı olmaksızın bir fidye yazılımı olayına kabul edilmesi çok çirkin” dedi.
Saldırganlar “ProxyNotShell” Exchange Sunucusu Kusurlarından Yararlandı mı?
Saldırganların Rackspace’in Barındırılan Exchange ortamını nasıl ihlal etmiş olabileceğine dair hiçbir ayrıntı kamuya açık değil. Ancak güvenlik araştırmacısı Kevin Beaumont, analizinin, izinsiz girişten hemen önce, Rackspace’in Exchange kümesinin, bu yılın başlarında Exchange Server’daki “ProxyNotShell” sıfır gün kusurlarına karşı savunmasız görünen teknoloji sürümlerine sahip olduğunu gösterdiğini söyledi.
“Rackspace ihlali mümkün başka sorunlardan dolayı olduBeaumont, “Ancak ihlal, Exchange Server yöneticilerinin kusurlar için neden Microsoft’un yamalarını uygulamaları gerektiğini genel bir hatırlatmadır. 2023’e kadar Microsoft Exchange aracılığıyla kuruluşlara yönelik saldırıların devam etmesini bekliyorum.”