Beim Cloud-Anbieter Rackspace hat die Play-Ransomware zugeschlagen
Rackspace hat seine forensischen Untersuchungen zur Cyberattacke abgeschlossen. Es gab Zugriffe auf Daten von wenigen Kunden.
(Bild: antb/Shutterstock.com)
Der Cloud-Diensteanbieter Rackspace hat weitere Details zur Cyberattacke auf seine Hosted-Exchange-Umgebung bekanntgegeben. Im Zuge des Angriffs kam es zu Störungen und Kunden konnten nicht auf Dienste zugreifen.
Remote Code Execution
Wie Rackspace nun in einem aktualisierten Statement mitteilt, haben die Angreifer Systeme mit dem Verschlüsselungstrojaner Play infiziert. Dafür sollen sie eine Sicherheitslücke (CVE-2022-41080 "hoch") in Exchange Server ausgenutzt haben. Diese Lücke sorgte jüngst im Kontext von ProxyNotShell für Schlagzeilen. Sicherheitspatches dagegen gibt es seit November 2022. Racksapce betont aber, dass es keine ProxyNotShell-Attacken waren.
Die Lücke dient Angreifer oft als Einstiegspunkt. Wie Sicherheitsforscher von Crowdstrike herausgefunden haben, wird sie häufig mit einer weiteren Schwachstelle (CVE-2022-41082 "hoch") kombiniert, um Schadcode auf Systemen auszuführen.
Betroffene
Rackspace versichert, dass keine weiteren Dienste und Produkte von der Attacke betroffen waren. Vom Angriff auf die Hosted-Exchange-Umgebung sollen rund 30.000 Kunden betroffen sein. Der Cloud-Diensteanbieter gibt an, dass die Angreifer bei 27 Kunden auf E-Mail-Daten im Personal Storage Table (PST) zugreifen konnten.
Des Weiteren führen sie aus, dass sie weiterhin betroffene Kundendaten wiederherstellen. Bislang sollen aber nur fünf Prozent der Kunden davon Gebrauch gemacht haben. Außerdem geben sie an, dass der Umzug von Kunden zu Microsoft 365 bereits vor der Attacke geplant war. Derzeit migrieren sie Kunden bei gleichbleibenden Kosten.
Rackspace gibt an, dass es nun keine Updates zum Vorfall mehr geben werde, da die forensischen Untersuchungen abgeschlossen seien. Der Vorfall wurde Anfang Dezember 2022 publik.
Kontext zu ProxyNotShell-Attacken im Text spezifiziert.
(des)
