Dalış Özeti:
- Rackspace, olay sonrası soruşturmasının sonucunda, Aralık fidye yazılımı saldırısının arkasındaki tehdit aktörünün, şirketin 30.000 Barındırılan Exchange müşterisinden yalnızca 27’sinin Kişisel Depolama Tablosuna eriştiğini söyledi. Perşembe günü yayınlanan bir güncellemeye göre.
- Rackspace, saldırganların 27 müşteriden herhangi birine ait gerçek e-postaları veya verileri ele geçirebildiğine, görüntüleyebildiğine, yayabildiğine veya kötüye kullanabildiğine dair hiçbir kanıt olmadığını söyledi. Şirket, etkilenen kuruluşları bilgilendirdi.
- Barındırılan Exchange müşterilerinin yarısından fazlası saldırıdan önceki geçmiş e-postalarının bir kısmını veya tamamını aldı, ancak yalnızca %5’i gönderilen posta kutularını fiilen indirdi.
Dalış Bilgisi:
Raf alanı bu haftanın başlarında Play fidye yazılımının saldırının arkasındaki tehdit aktörü olduğunu doğruladı. Saldırganlar, Outlook Web Access’i giriş noktası olarak kullanan CVE-2022-41080 ile ilişkili bir güvenlik açığı kullandı.
Şirket, CrowdStrike’ın yanı sıra FBI ve diğer uzmanlar tarafından yapılan soruşturmanın, saldırının onu ProxyNotShell ile ilişkilendiren yaygın raporlarla ilgili olmadığını gösterdiğini söyledi.
CrowdStrike araştırmacıları, saldırganları bir OWASSRF olarak adlandırılan saldırı yöntemiProxyNotShell’e karşı koruma sağlamak için Microsoft tarafından geliştirilen önceki azaltmaları ortadan kaldırıyordu.
Rackspace, belirli bir fidye ödenip ödenmediği veya bir şifre çözücü alıp almadığı konusunda yorum yapmadı.
Rackspace’in Barındırılan Exchange müşterilerinin çoğu, bireysel müşterilerle birlikte küçük ve orta ölçekli işletmelerdi. Fidye yazılımı saldırısı, birçok müşteri için kritik iş e-postalarını kesintiye uğrattı ve Teksas’taki ABD Bölge Mahkemesinde açılan birleştirilmiş toplu davaya yol açtı.
Clumio’daki yöneticiler, geçen ay Rackspace saldırısının, kuruluşların verileri depolama ve koruma şeklini değiştirme ihtiyacının altını çizmeye yardımcı olduğunu söyledi.
Clumio’nun kurucu ortağı ve CTO’su Woon Ho Jung yaptığı açıklamada, “Veri koruma ve kurtarmanın, verileri sürekli olarak alma, alma ve yedeklemenin devasa ölçeğine ve hızına ayak uydurması gerekiyor” dedi.
Rackspace, geçmiş verileri kurtarma çabalarına devam edeceğini ve verilerini indirmeye devam etmek isteyen müşteriler için isteğe bağlı bir çözüm geliştirdiğini söyledi.
Rackspace, Barındırılan Exchange ortamını yeniden oluşturmayı planlamıyor ve müşterilerini Microsoft 365’e taşıyor.