Rackspace ha confirmado que una interrupción continua que afecta a sus clientes alojados de Microsoft Exchange es el resultado de un ataque de ransomware contra su entorno alojado de Exchange, llevado a cabo por un grupo no especificado.
La interrupción se informó por primera vez a las 7:49 a. m. GMT del viernes 2 de diciembre, cuando Rackspace comenzó a investigar informes de problemas de conectividad con sus entornos de Microsoft Exchange, lo que provocó que los usuarios tuvieran un error cuando intentaban acceder a Outlook Web App y sincronizar sus clientes de correo electrónico.
Mientras tanto, ha estado ofreciendo a los clientes acceso a Microsoft 365 como medida provisional y dice que ahora ha migrado a decenas de miles de usuarios y dominios. A partir de su última actualización, emitida a la 1:26 p. m. GMT del 6 de diciembre, no puede proporcionar un cronograma de cuándo podría restaurar los servicios de Hosted Exchange.
En un comunicado, un portavoz de Rackspace dijo: “Rackspace Technology anunció hoy un incidente de ransomware que afectó su entorno Hosted Exchange, lo que está provocando interrupciones en el servicio para los clientes de Hosted Exchange de la empresa.
“Junto con el equipo de seguridad interna de Rackspace Technology, la empresa ha contratado a una empresa líder en defensa cibernética para que investigue. Inmediatamente después de detectar el incidente, la empresa tomó medidas proactivas para aislar el entorno de Hosted Exchange para contener el incidente”.
Con base en su investigación hasta el momento, la compañía cree que el incidente se ha aislado en su negocio Hosted Exchange. Sus otros productos y servicios permanecen completamente operativos y parece que no ha habido impacto en su línea o plataforma de productos de correo electrónico. Sin embargo, como medida de precaución, ha puesto en marcha medidas adicionales de seguridad y vigilancia.
El portavoz dijo: “Rackspace Technology está en comunicación continua con los clientes de Hosted Exchange para ayudarlos a migrar a un nuevo entorno lo más rápido posible. Rackspace Technology ha aumentado el personal de soporte y tomará medidas adicionales para ayudar a guiar a los clientes a través de este proceso a fin de limitar el impacto en sus propias operaciones.
“Aunque Rackspace Technology se encuentra en las primeras etapas de evaluación de este incidente, el incidente ha causado, y puede continuar causando, una interrupción en su negocio de Hosted Exchange y puede resultar en una pérdida de ingresos para el negocio de Hosted Exchange, que genera aproximadamente $30 m de ingresos anuales en el segmento Apps & Cross Platform. Además, Rackspace Technology puede tener costos incrementales asociados con su respuesta al incidente”.
Al comentar sobre el incidente, el CISO gerente de Barrier Networks, Jordan Schroeder, dijo: “Esta última actualización de Rackspace dejará a muchos de los clientes de la compañía muy preocupados de que sus datos ahora estén en manos de ciberdelincuentes.
“Si este es el caso, miles de empresas en todo el mundo sentirán las consecuencias de este ataque, y una vez más resaltará que cuando una organización asume la responsabilidad de almacenar o alojar datos pertenecientes a empresas, tiene una responsabilidad aún mayor. deber de mantenerlo seguro.”
Schroeder dijo que hasta que se sepa más, sería sensato que los clientes de Rackspace Hosted Exchange tomaran precauciones adicionales y, en particular, implementaran un monitoreo adicional en sus propias redes y desplegaran inteligencia web oscura en caso de que sus datos hayan sido exfiltrados.
Mientras tanto, el investigador independiente y comentarista de seguridad Kevin Beaumont presentó evidencia limitada que sugiere que el ataque pudo haber comenzado con la explotación de la llamada cadena de ataque ProxyNotShell.
Escribiendo en la plataforma de blogs Medium, Beaumont, quien acuñó el término ProxyNotShell, dijo que había extrapolado la evidencia de los datos de Shodan que parece mostrar que el clúster de Exchange de Rackspace mostraba números de compilación largos que se remontan a agosto, antes de que el problema se corrigiera en el Patch Tuesday de noviembre. actualizar.
ProxyNotShell comprende dos vulnerabilidades de día cero, CVE-2022-41040, una vulnerabilidad de ejecución remota de código (RCE), y CVE-2022-41082, una vulnerabilidad de elevación de privilegios (EoP). Encadenados, se pueden usar para acceder a servidores Microsoft Exchange vulnerables.
No se ha probado un vínculo con el incidente de Rackspace y la compañía no ha hecho ninguna declaración sobre la causa del ataque en esta etapa.