Rackspace dice que está haciendo un buen progreso en su investigación y remediación de un ataque de ransomware que paralizó su negocio de Hosted Exchange, y todavía está involucrado en la transición activa de los clientes afectados a Microsoft Office 365, pero algunos usuarios dicen que están viendo problemas que pueden indicar sus datos. Ha sido comprometido.
En una nueva actualización publicada antes del fin de semana del 10 al 11 de diciembre, Rackspace dijo que había podido contener el incidente rápidamente y limitarlo al negocio de Hosted Exchange Email, que representa alrededor del 1% de sus ingresos anuales totales y es utilizado principalmente por Usuarios de pequeñas y medianas empresas (PYME) y pequeñas y oficinas domésticas (Soho).
“Nuestro equipo de seguridad de la información contaba con sólidos protocolos de respuesta a incidentes que condujeron a la contención rápida del ataque de ransomware”, dijo Josh Prewitt, director de productos de Rackspace. “Invertimos tiempo y recursos en seguridad cibernética: nos tomamos muy en serio nuestros procesos y procedimientos en torno a las amenazas cibernéticas. Es por eso que otras partes de nuestro negocio, y la gran mayoría de nuestros clientes, no se vieron afectadas de ninguna manera por el incidente y permanecen seguras y en pleno funcionamiento”.
La investigación en curso, dirigida por CrowdStrike, se centra en “comprender la causa raíz e implementar medidas de seguridad adicionales para defenderse de futuros ataques cibernéticos”, dijo la firma. Mientras tanto, está invirtiendo recursos en la migración de Microsoft Office 365 y ha reclutado personal de refuerzo y ha traído un equipo acelerado de Microsoft para ayudar en el proceso.
“Somos una organización que prioriza al cliente y nos disculpamos sinceramente por la interrupción que este incidente ha causado a aquellos clientes que utilizan nuestros servicios de correo electrónico Hosted Exchange”, dijo Prewitt.
“Hemos priorizado que nuestros clientes vuelvan a usar el correo electrónico y hemos aumentado nuestro personal y hemos estado trabajando las 24 horas para apoyarlos en esta transición. Hemos logrado un progreso significativo para que los clientes vuelvan a usar el correo electrónico y continuaremos enfocando nuestros esfuerzos para apoyar a los clientes y hacerlos llegar al correo electrónico lo antes posible.
“Seguimos trabajando en la recuperación de datos, que sabemos que es muy importante para nuestros clientes. Rackspace comprende la importancia de abordar este incidente y hemos priorizado la comunicación con los clientes, explorando todas las vías posibles para llegar a ellos, compartir la información conocida y, lo que es más importante, darles acceso al correo electrónico”.
En sus actualizaciones más recientes durante el fin de semana, Rackspace afirmó que “un poco más de dos tercios” de sus clientes de Hosted Exchange habían vuelto al correo electrónico. Se negó a decir si había pagado o no un rescate.
Pero un usuario con sede en el Reino Unido, que solicitó el anonimato, dijo que no estaba impresionada con la respuesta de la empresa.
“No ha habido absolutamente nada en el Reino Unido sobre los problemas”, dijo. “Ha sido una completa pesadilla, tengo que recurrir a Twitter para ver qué está pasando, y estoy en la misma posición que estaba a las 7:30 de la mañana del 2 de diciembre.
“Además de no poder usar mi cuenta de Exchange, que uso para todo, incluido mi pequeño negocio de ‘banda de un solo hombre’, noté que todos mis correos electrónicos del 24 de noviembre habían perdido su contenido”.
El usuario agregó que, si bien Rackspace no se había puesto en contacto con respecto a su incapacidad para acceder a su cuenta de Exchange, había estado “muy acertado” con su factura de diciembre.
El cliente también le dijo a Computer Weekly que 10 días antes del incidente, había recibido un correo electrónico de phishing que se originaba en un dominio registrado en Guyana en América del Sur, que afirmaba ser de Rackspace y la amenazaba con desconectarla de su cuenta de Hosted Exchange si no lo hacía. migrar a Office 365.
Aunque esto podría ser un ataque de phishing oportunista, y usar el atractivo de una migración de Microsoft Office 365 es casi seguro una coincidencia dado el momento del correo electrónico, la posibilidad de que los datos del cliente podrían haber sido extraídos y utilizados o vendidos por el equipo de ransomware aún no revelado. detrás del ataque no se puede descartar.
No es raro que los actores de amenazas, en particular los operadores de ransomware, pasen largos períodos de tiempo dentro de los entornos de las víctimas estableciendo persistencia, realizando reconocimiento y robando datos.
Computer Weekly se puso en contacto con Rackspace para analizar el caso del cliente, pero la organización no había respondido al momento de escribir este artículo.
Hasta que se confirme lo contrario, los usuarios de Rackspace deben estar alerta ante la posibilidad de que puedan ser atacados por el mismo grupo que atacó a Rackspace, u otros actores de amenazas oportunistas que intentan intervenir en la acción. La explotación de incidentes de alto perfil es una táctica de ingeniería social muy utilizada en los ataques cibernéticos.
Los usuarios de pymes pueden acceder a una guía más detallada de la Agencia Nacional de Seguridad Cibernética del Reino Unido.