Rackspace, Barındırılan Exchange E-posta hizmetini çökerten 2 Aralık fidye yazılımı saldırısıyla ilgili adli soruşturmasını tamamladı ve bu hizmeti sonlandıracağını ve bulut tabanlı Microsoft 365’e geçireceğini duyurdu.
Şirket, saldırıdan bu yana kapalı olan barındırılan Exchange sunucu ortamını yeniden inşa etmeyi planlamadığını ve fidye yazılımı olayından önce 365’e geçme yolunda olduğunu söyledi.
Rackspace, yazılım güncellemesinin şirketin sunucularını çökertebileceğinden korktuğu “kimlik doğrulama hatalarına” neden olduğu yönündeki raporlarla ilgili endişeler nedeniyle Microsoft’un ProxyNotShell yamasını Exchange Sunucularına uygulamamaya karar vermişti. Bunun yerine, bir ProxyNotShell saldırısını engellemek için güvenlik açıkları için Microsoft’un önerdiği hafifletmelere bağlı kaldı.
Play fidye yazılımı grubu, Rackspace’in Barındırılan Exchange sistemlerini ihlal eden CVE-2022-41080 güvenlik açığını kötüye kullanan yeni bir istismarla Microsoft’un azaltma önlemlerini atlayabildiği için bu strateji başarısız oldu. Rackspace bugün yaptığı bir gönderide, “Microsoft, CVE-2022-41080’i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı ve kötüye kullanılabilen bir Uzaktan Kod Yürütme zincirinin parçası olduğuna dair notlar eklemedi.”
Play, 27 Rackspace Müşterisinden Veri Çaldı
Yönetilen bulut barındırma hizmetleri şirketine göre, saldırganlar yaklaşık 30.000 Barındırılan Exchange müşterisinden 27’sinin Kişisel Depolama Tablolarını (PST’ler) ele geçirdi, ancak Play bilgisayar korsanlarının çalınan bilgileri görüntülediğine veya dağıttığına dair hiçbir kanıt yok. Şirket, “Rackspace ekibi tarafından doğrudan iletişime geçilmeyen müşteriler, PST verilerine tehdit aktörü tarafından erişilmediğinden emin olabilir” dedi.
Rackspace, “Başka hiçbir Rackspace ürününün, platformunun, çözümünün veya işletmesinin bu olaydan etkilenmediğini veya kesinti yaşamadığını hatırlatmak isteriz” dedi.
Bu arada, Barındırılan Exchange müşterileri için e-posta veri kurtarma çalışmaları devam etmektedir. “Bugün itibariyle, etkilenen müşterilerin yarısından fazlasının verilerinin bir kısmı veya tamamı indirilebilir durumda. Ancak, bu müşterilerin %5’inden azı, kullanıma sunduğumuz posta kutularını fiilen indirdi. Bu bize, çoğunun müşterilerimizin yerel olarak yedeklenmiş, arşivlenmiş verileri var veya geçmiş verilere başka bir şekilde ihtiyaçları yok,” dedi Rackspace. Şirket ayrıca verilerini indirmek isteyen müşteriler için isteğe bağlı bir seçenek sunacak.
Rackspace, posta kutularının yarısından fazlasını kurtardığı müşterilerle iletişime geçtiğini söyledi; kurtarılan verilerine müşteri portalı aracılığıyla erişilebilir. “Geçmiş e-posta verilerinizin bulunup bulunmadığını kontrol etmek için lütfen Veri Kurtarma Kaynakları sayfamızdaki (https://www.rackspace.com/hosted-exchange-incident-data-recovery-resources) Adım 2’yi izleyin ve posta kutunuzun açık olup olmadığına bakın. indirmeye hazır” dedi şirket gönderisibu da ek kaynaklar sağlar.