Rackspace dijo que «más de la mitad» de los clientes afectados recuperaron el acceso a los datos tras el ataque. La banda del ransomware está detrás del reciente ciberataque a Rackspace.
Rackspace ha revelado que la pandilla de ransomware Play estuvo detrás de un ataque en diciembre que derribó el servicio de correo electrónico Microsoft Exchange alojado de la compañía.
En una actualización de estado publicada hace unos días, la empresa de computación en la nube confirmó que el grupo de ransomware obtuvo acceso a las tablas de almacenamiento personal (PST) pertenecientes a 27 clientes de intercambio alojados.
Rackspace insistió en que, en la actualidad, no hay evidencia que sugiera que los actores de amenazas «vieron, obtuvieron, usaron indebidamente o difundieron» correos electrónicos o datos pertenecientes a los clientes de intercambio alojados.
En el momento de la actualización de Rackspace, la empresa reveló que «más de la mitad» de los clientes afectados tenían «algunos o todos sus datos disponibles para descargar».
El ataque
Rackspace informó por primera vez a los clientes que había sufrido una infracción el 2 de diciembre. El ataque provocó una interrupción en el servicio de correo electrónico alojado de Microsoft Exchange de la empresa, lo que interrumpió a los clientes afectados que no pudieron acceder a los servicios de correo electrónico y recuperar contactos o correspondencia anterior.
Una divulgación de seguimiento de la empresa confirmó que un ataque de ransomware fue el culpable del incidente. Posteriormente, comenzó a migrar a los clientes a los servicios de Microsoft 365 basados en la nube.
Una investigación realizada por CrowdStrike descubrió que Play aprovechó un exploit de día cero asociado con CVE-2022-41080, conocido como ‘OWASSRF‘, como parte del ataque.
El día cero de OWASSRF explota dos vulnerabilidades, rastreadas como CVE-2022-41080 y CVE-2022-41082, y permite a los actores de amenazas lograr la ejecución remota de código (RCE) a través de Outlook Web Access.
CrowdStrike dijo que descubrió este nuevo exploit en la parte posterior de una investigación exhaustiva sobre los recientes ataques de ransomware de Play dirigidos a Microsoft Exchange.
¿Qué es el ransomware Play?
El grupo es relativamente nuevo en el espacio global de ciberdelincuencia. También conocido como PlayCrypt. Se cree que el grupo se lanzó en junio de 2022 y ya ha causado una interrupción significativa en una gran cantidad de organizaciones importantes.
Anteriormente, el grupo se atribuyó la responsabilidad de un ataque contra la cadena hotelera alemana H-Hotels. A principios de esta semana, el grupo dijo que era responsable de un ataque contra el Politécnico del Estado de Nueva York (SUNY).
Se cree que el ataque es el primer gran ataque de ransomware en el sector de la educación en lo que va de 2023 y condujo a la exposición de datos confidenciales, como información de pasaportes, contratos confidenciales e identificaciones de estudiantes.