{"id":560904,"date":"2023-01-06T09:55:27","date_gmt":"2023-01-06T09:55:27","guid":{"rendered":"https:\/\/teknomers.com\/es\/rackspace-confirma-que-la-pandilla-play-ransomware-es-responsable-de-una-filtracion-reciente\/"},"modified":"2023-01-06T09:55:29","modified_gmt":"2023-01-06T09:55:29","slug":"rackspace-confirma-que-la-pandilla-play-ransomware-es-responsable-de-una-filtracion-reciente","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/rackspace-confirma-que-la-pandilla-play-ransomware-es-responsable-de-una-filtracion-reciente\/","title":{"rendered":"Rackspace confirma que la pandilla Play Ransomware es responsable de una filtraci\u00f3n reciente"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>06 de enero de 2023<\/span>\ue804<\/i>Ravie Lakshman\u00e1n<\/span><\/span>Seguridad en la nube\/amenaza cibern\u00e9tica<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

El proveedor de servicios en la nube Rackspace confirm\u00f3 el jueves que la banda de ransomware conocida como Tocar<\/b> fue responsable del incumplimiento del mes pasado.<\/p>\n

El incidente de seguridad, que tuvo lugar el 2 de diciembre de 2022, aprovech\u00f3 un exploit de seguridad previamente desconocido para obtener acceso inicial al entorno de correo electr\u00f3nico de Rackspace Hosted Exchange.<\/p>\n

“Este exploit de d\u00eda cero est\u00e1 asociado con CVE-2022-41080<\/a>la empresa con sede en Texas dicho<\/a>. “Microsoft revel\u00f3 CVE-2022-41080 como una vulnerabilidad de escalada de privilegios y no incluy\u00f3 notas por ser parte de una cadena de ejecuci\u00f3n remota de c\u00f3digo que era explotable”.<\/p>\n

La investigaci\u00f3n forense de Rackspace encontr\u00f3 que el actor de amenazas accedi\u00f3 a la tabla de almacenamiento personal (.PST<\/a>) de 27 clientes de casi 30 000 clientes en el entorno de correo electr\u00f3nico de Hosted Exchange.<\/p>\n

Sin embargo, la compa\u00f1\u00eda dijo que no hay evidencia de que el adversario haya visto, usado indebidamente o distribuido los correos electr\u00f3nicos o datos del cliente de esas carpetas de almacenamiento personal. Dijo adem\u00e1s que tiene la intenci\u00f3n de retirar su plataforma Hosted Exchange como parte de una migraci\u00f3n planificada a Microsoft 365.<\/p>\n

Actualmente no se sabe si Rackspace pag\u00f3 un rescate a los ciberdelincuentes, pero la divulgaci\u00f3n sigue a un informe de CrowdStrike el mes pasado que arroj\u00f3 luz sobre la nueva t\u00e9cnica, denominada OWASSRF, empleada por los actores del ransomware Play.<\/p>\n

El mecanismo tiene como objetivo los servidores de Exchange que no tienen parches contra las vulnerabilidades de ProxyNotShell (CVE-2022-41040<\/a> y CVE-2022-41082<\/a>) pero tienen implementadas mitigaciones de reescritura de URL para el extremo de detecci\u00f3n autom\u00e1tica.<\/p>\n

Esto implica una cadena de explotaci\u00f3n que comprende CVE-2022-41080 y CVE-2022-41082 para lograr la ejecuci\u00f3n remota de c\u00f3digo de una manera que elude las reglas de bloqueo a trav\u00e9s de Outlook Web Access (OWA). Microsoft solucion\u00f3 las fallas en noviembre de 2022.<\/p>\n

El fabricante de Windows, en un comunicado compartido con The Hacker News, inst\u00f3 a los clientes a priorizar la instalaci\u00f3n de su Actualizaciones de Exchange Server de noviembre de 2022<\/a> y que el m\u00e9todo informado apunta a sistemas vulnerables que no han aplicado las \u00faltimas correcciones.<\/p>\n

<\/p>\n

\u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n