Rackspace Perşembe günü, geçen ayki olayın arkasındaki saldırganların, müşterilerinin e-postalar, takvim verileri, kişiler ve görevler de dahil olmak üzere çok çeşitli bilgileri içerebilen Kişisel Depolama Tablosu (PST) dosyalarına eriştiğini açıkladı.
Bu güncelleme, Rackspace’in Aralık ayında barındırılan Microsoft Exchange ortamını çökerten siber saldırının arkasında Play fidye yazılımı operasyonunun olduğunu doğrulamasının ardından geldi.
Siber güvenlik firması Crowdstrike tarafından yürütülen ve artık tamamlanmış olan soruşturma sırasında keşfedildiği üzere, saldırganlar 27 Rackspace müşterisinin kişisel depolama klasörlerine erişim sağladı.
Ancak şirket, erişilen yedekleme dosyalarının içeriklerini görüntülediklerine veya bilgileri kötüye kullandıklarına dair herhangi bir kanıt bulunmadığını da sözlerine ekledi.
Rackspace bir olay raporu güncellemesinde, “Saldırı sırasında Hosted Exchange e-posta ortamındaki yaklaşık 30.000 müşteriden, adli soruşturma, tehdit aktörünün 27 Barındırılan Exchange müşterisinin Kişisel Depolama Tablosuna (‘PST’) eriştiğini belirledi.” önceden BleepingComputer ile paylaşılır.
“Bulgularımızı proaktif bir şekilde bu müşterilere zaten ilettik ve daha da önemlisi, Crowdstrike’a göre, tehdit aktörünün 27 Barındırılan Exchange müşterisinin e-postalarını veya PST’lerdeki verilerini fiilen görüntülediğine, elde ettiğine, kötüye kullandığına veya yaydığına dair hiçbir kanıt yok. her şekilde.”
“Rackspace ekibi tarafından doğrudan iletişime geçilmeyen müşteriler, PST verilerine tehdit aktörü tarafından erişilmediğinden emin olabilir.”
RackSpace, tehdit aktörlerinin müşteri verilerine eriştiğine dair hiçbir kanıt olmadığını söylese de, tarih bunun her zaman böyle olmadığını göstermiştir.
Ek olarak, fidye ödendiğinde veya başka bir nedenle veriler sızdırılmasa bile, müşteri verilerinin en azından saldırı sırasında görüntülenmiş olma olasılığı çok yüksektir.
Etkilenen istemciler, bazı kurtarılmış PST verilerini indirebilir
Rackspace, 2 Aralık’ta saldırıyı keşfettiğinden ve kesintinin bir fidye yazılımı saldırısından kaynaklandığını doğruladığından beri, etkilenen müşterilere e-postalarını Barındırılan Exchange platformundan Microsoft 365’e taşımaları için ücretsiz lisanslar sunuyor.
Bulut bilgi işlem sağlayıcı ayrıca, etkilenen müşterilere, otomatikleştirilmiş bir sıra aracılığıyla müşteri portalı aracılığıyla kurtarılan geçmiş posta kutusu verilerine (2 Aralık’tan önceki e-posta mesajlarını içeren) indirme bağlantıları sağlar.
Şirket, “Bir hatırlatma olarak, posta kutularının %50’sinden fazlasını kurtardığımız müşterileri proaktif olarak bilgilendiriyoruz” dedi.
“Planlandığı gibi mümkün olan tüm verileri kurtarmak için çalışmaya devam edeceğiz, ancak buna paralel olarak, verilerini indirmeye devam etmek isteyen müşteriler için isteğe bağlı bir çözüm geliştiriyoruz. İsteğe bağlı çözümün yakında kullanıma sunulmasını bekliyoruz. iki hafta.”
BleepingComputer bugün erken saatlerde bir Rackspace sözcüsüne e-posta verilerinin Rackspace’in yedeklerinden mi yoksa Play fidye yazılımı saldırganları tarafından sağlanan bir şifre çözme aracının yardımıyla mı geri yüklendiğini sordu. Bir cevap aldığımızda makaleyi güncelleyeceğiz.
Rackspace, bugünkü güncellemesinde Barındırılan Exchange ortamının kullanımdan kaldırılacağını ekledi ve müşterilerini Aralık ayındaki fidye yazılımı saldırısından önce bile Microsoft 365’e taşımayı planladığını söyledi.
Rackspace, “Son olarak, Barındırılan Exchange e-posta ortamı, ileriye dönük bir hizmet teklifi olarak yeniden oluşturulmayacak” dedi.
“Son güvenlik olayından önce bile Barındırılan Exchange e-posta ortamı, daha esnek bir fiyatlandırma modelinin yanı sıra daha modern özelliklere ve işlevselliğe sahip olan Microsoft 365’e geçiş için zaten planlanmıştı.”