Rackspace atrapado por el ransomware Play

hace 2 años

000000089792.png

En diciembre pasado, Rackspace reconoció un ataque de ransomware. Hoy, el proveedor da un poco más de detalles sobre el modus operandi del grupo Play que lo atacó.

En el mundo cada vez más diverso del ransomware, Play Group está comenzando a hacerse un nombre. Y ya tiene varias víctimas en su lista: el departamento de Alpes Marítimos, el ayuntamiento de Amberes, la cadena hotelera alemana H-Hotels... Ahora hay que sumar Rackspace. Este último confirmó que el grupo Play estaba efectivamente detrás del ataque sufrido en diciembre de 2022. Había interrumpido los servidores de Exchange de varios clientes.

La confirmación sigue a un informe publicado el mes pasado por el editor de ciberseguridad Crowdstrike. Luego detalló un exploit utilizado por grupos de ransomware para comprometer los servidores Exchange de Microsoft y obtener acceso a las redes de las víctimas. El ataque, denominado OWASSRF, dio a los piratas informáticos la capacidad de eludir las mitigaciones de reescritura de URL de ProxyNotShell proporcionadas por Microsoft. Para esto, se basó en una falla crítica (CVE-2022-41080) que condujo a una elevación remota de privilegios en los servidores de Exchange. Los atacantes también lograron ejecutar código de forma remota en servidores basados ​​en CVE-2022-41082.

Servidores aún vulnerables a ProxyNotShell

Pero en el análisis de Crowdstrike, no se mencionó la identidad del grupo de ransomware. Rackspace finalmente mostró transparencia al dar el nombre de la pandilla, a pesar de que su identidad ya circulaba en la comunidad cibernética. El proveedor indicó a varios medios que la causa raíz de este ataque es la explotación de la falla de “día cero” asociada a CVE-2022-41080. Aprovecha esta oportunidad para agradecer a Crowdstrike por su minucioso trabajo y quiere compartir la información más detallada con los clientes y la comunidad.

Un esfuerzo de comunicación que no está de más. De hecho, un análisis reciente realizado por Shadowserver Foundation muestra que todavía hay 60 000 servidores Exchange vulnerables a ataques en ProxyNotShell. Por lo tanto, es urgente corregir este equipo.

Si quieres conocer otros artículos parecidos a Rackspace atrapado por el ransomware Play puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad