-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Rackspace – jeden z popularnych dostawców cloudowych uderzony ransomware. Dane części klientów zostały wykradzione.

07 stycznia 2023, 09:38 | W biegu | 0 komentarzy

Warty odnotowania przypadek w kontekście przekonania: nie no, mam infrastrukturę IT w cloudzie – ransomware nic mi nie zrobi. Rackspace to korporacja o ~3 miliardach USD rocznego przychodu, która w dość transparentny sposób raportuje tutaj:

As an update on the ransomware attack itself, CrowdStrike has confirmed that they have obtained very good visibility throughout the entire Rackspace environment enabling CrowdStrike to confirm that the attack was limited to the Hosted Exchange environment. 

Rackspace informuje o dostępie atakujących do danych raptem 27 klientów, którzy hostowali cloudowego Exchange. Kto wie – może atak był precyzyjnie celowany, a może nie ma dowodów na dostęp do danych pozostałych klientów?

Of the nearly 30,000 customers on the Hosted Exchange email environment at the time of the attack, the forensic investigation determined the threat actor accessed a Personal Storage Table („PST”) of 27 Hosted Exchange customers. 

Jak operatorzy ransomware dostali się do infrastruktury Rackspace? Nowe podatności w Microsoft Exchange (odkryte pod koniec 2022). Wystarczy mieć dostęp do OWA oraz do wybranego konta jednego z użytkowników. Dzięki temu atakujący są w stanie uruchomić powershella na serwerze (prawdopodobnie jako SYSTEM).

Pisaliśmy o tym niedawno (również w kontekście przygotowywania coraz to nowszych metod obejść rekomendacji Microsoftu). Pewne dodatkowe szczegóły opisuje również blog Crowdstrike.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz