Un ataque de ransomware el 2 de diciembre en Rackspace Technology, que la empresa de hospedaje en la nube tardó varios días en confirmar, se está convirtiendo rápidamente en un caso de estudio sobre los estragos que pueden resultar de un solo ataque bien ubicado en un proveedor de servicios en la nube.
El ataque ha interrumpido los servicios de correo electrónico de miles de organizaciones, en su mayoría pequeñas y medianas. La migración forzada a la plataforma de un competidor dejó a algunos clientes de Rackspace frustrados y desesperados por recibir apoyo de la empresa. También ha provocado al menos una demanda colectiva e hizo que el precio de las acciones de Rackspace que cotiza en bolsa cayera casi un 21 % en los últimos cinco días.
¿Divulgación retrasada?
“Si bien es posible que la causa principal haya sido un parche perdido o una configuración incorrecta, no hay suficiente información disponible públicamente para decir qué técnica usaron los atacantes para violar el entorno de Rackspace”, dice Mike Parkin, ingeniero técnico senior de Vulcan Cyber. “El problema más importante es que la infracción afectó a varios clientes de Rackspace aquí, lo que señala uno de los posibles desafíos de confiar en la infraestructura de la nube”. El ataque muestra cómo si los actores de amenazas pueden comprometer o paralizar a los grandes proveedores de servicios, pueden afectar a varios inquilinos a la vez.
Rackspace reveló por primera vez que algo andaba mal a las 2:20 am EST del 2 de diciembre con un anuncio de que estaba investigando "un problema" que afectaba el entorno de Hosted Exchange de la empresa. Durante las próximas horas, la compañía mantuvo proporcionando actualizaciones sobre los clientes que informan sobre problemas de conectividad de correo electrónico e inicio de sesión, pero no fue hasta casi un día después que Rackspace identificó el problema como un "incidente de seguridad".
En ese momento, Rackspace ya había cerrado su entorno Hosted Exchange citando una "falla significativa" y dijo que no tenía una estimación de cuándo la empresa podría restaurar el servicio. Rackspace advirtió a los clientes que los esfuerzos de restauración podrían demorar varios días y aconsejó a aquellos que buscan acceso inmediato a los servicios de correo electrónico que usen Microsoft 365 en su lugar. “Sin costo para usted, le brindaremos acceso a las licencias del Plan 1 de Microsoft Exchange en Microsoft 365 hasta nuevo aviso”, dijo Rackspace en una actualización del 3 de diciembre.
La empresa señaló que el equipo de soporte de Rackspace estaría disponible para ayudar a los administradores a configurar y establecer cuentas para sus organizaciones en Microsoft 365. En actualizaciones posteriores, Rackspace dijo que había ayudado, y estaba ayudando, a miles de sus clientes a migrar a Microsoft 365.
un gran reto
El 6 de diciembre, más de cuatro días después de su primera alerta, Rackspace identificó el problema que había desconectado su entorno Hosted Exchange como un ataque de ransomware. La compañía describió el incidente como aislado de su servicio Exchange y dijo que todavía estaba tratando de determinar qué datos podría haber afectado el ataque. “En este momento, no podemos proporcionar un cronograma para la restauración del entorno de Hosted Exchange”, dijo Rackspace. “Estamos trabajando para proporcionar a los clientes archivos de bandejas de entrada donde estén disponibles, para eventualmente importarlos a Microsoft 365”.
La empresa reconoció que pasar a Microsoft 365 no será particularmente fácil para algunos de sus clientes y dijo que ha reunido todo el apoyo que puede obtener para ayudar a las organizaciones. “Reconocemos que instalar y configurar Microsoft 365 puede ser un desafío y hemos agregado todos los recursos disponibles para ayudar a los clientes”, dijo. Rackspace sugirió que, como solución temporal, los clientes podrían habilitar una opción de reenvío, de modo que el correo destinado a su cuenta de Hosted Exchange vaya a una dirección de correo electrónico externa.
Rackspace no ha revelado a cuántas organizaciones ha afectado el ataque, si recibió alguna demanda de rescate o pagó un rescate, o si pudo identificar al atacante. La empresa no respondió de inmediato a una solicitud de Dark Reading en busca de información sobre estos temas. En un 6 de diciembre. Presentación en la SEC, Rackspace advirtió que el incidente podría causar una pérdida de ingresos para el negocio Hosted Exchange de casi $ 30 millones de la compañía. “Además, la Compañía puede tener costos incrementales asociados con su respuesta al incidente”.
Los clientes están furiosos y frustrados
Los mensajes en Twitter sugieren que muchos clientes están furiosos con Rackspace por el incidente y la forma en que la empresa lo ha manejado hasta ahora. Muchos parecen frustrados por lo que perciben como la falta de transparencia de Rackspace y los desafíos que enfrentan al tratar de volver a poner su correo electrónico en línea.
Un usuario de Twitter y aparente cliente de Rackspace quería saber acerca de los datos de su organización. “Chicos, ¿cuándo nos van a dar acceso a nuestros datos?”, dijo el usuario publicado. “Decirnos que vayamos a M365 con una nueva pizarra en blanco no es aceptable. Ayuda a tus socios. Devuélvenos nuestros datos”.
Otro usuario de Twitter sugirió que los atacantes de Rackspace también habían datos de clientes comprometidos en el incidente según la cantidad de correos electrónicos de phishing específicos de Rackspace que habían estado recibiendo en los últimos días. “Supongo que todos los datos de sus clientes también han sido violados y ahora están a la venta en la web oscura. Tus clientes no son estúpidos”, dijo el usuario.
Varios otros expresaron su frustración por no poder obtener apoyo de Rackspace, y otros afirmaron haber terminado su relación con la empresa. "Usted está manteniéndonos rehenes. La demanda lo llevará a la bancarrota”, señaló otro cliente aparente de Rackspace.
Davis McCarthy, investigador principal de seguridad de Valtix, dice que la brecha es un recordatorio de por qué las organizaciones deben prestar atención al hecho de que la seguridad en la nube es un responsabilidad compartida. “Si un proveedor de servicios no brinda esa seguridad, una organización se expone sin saberlo a amenazas que no pueden mitigar por sí mismas”, dice. “Tener un plan de gestión de riesgos que determine el impacto de esas incógnitas conocidas ayudará a las organizaciones a recuperarse durante el peor de los casos”.
Mientras tanto, la demanda, presentada por el bufete de abogados de California Cole & Van Note en nombre de los clientes de Rackspace, acusó a la compañía de “negligencia y violaciones relacionadas” alrededor de la brecha. “Que Rackspace haya ofrecido actualizaciones opacas durante días, luego admitió un evento de ransomware sin más asistencia al cliente es indignante”, señaló un comunicado que anuncia la demanda.
¿Aprovecharon los atacantes las fallas del servidor Exchange "ProxyNotShell"?
No hay detalles disponibles públicamente sobre cómo los atacantes podrían haber violado el entorno Hosted Exchange de Rackspace. Pero el investigador de seguridad Kevin Beaumont ha dicho que su análisis mostró que justo antes de la intrusión, el clúster de Exchange de Rackspace tenía versiones de la tecnología que parecían vulnerables al “ProxyNotShell” fallas de día cero en Exchange Server a principios de este año.
“Es posible que la violación de Rackspace sucedió debido a otros problemas”, dijo Beaumont. Pero la infracción es un recordatorio general de por qué los administradores de Exchange Server deben aplicar los parches de Microsoft para las fallas, agregó. “Espero ataques continuos a las organizaciones a través de Microsoft Exchange hasta 2023”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/rackspace-incident-highlights-disruptive-attacks-on-cloud-providers
