09.01.2023 | Группировка кибервымогателей Play взломала крупного провайдера облачных услуг Rackspace |
Rackspace официально подтвердила , что за кибератаку, произошедшую 2 декабря, ответственна группировка Play. Злоумышленники получили доступ к сервису электронной почты Rackspace Hosted Exchange, используя эксплойт нулевого дня. Как говорят представители компании, эксплойт связан с уязвимостью повышения привилегий под идентификатором CVE-2022-41080 . Расследование, проведенное Rackspace, показало, что хакеры сумели получить доступ к почтовой переписке, календарям-планировщикам, спискам задач, адресной книге и прочим данным в PST-файлах (Personal Storage Table) 27 клиентов Rackspace. Однако компания заявила, что нет никаких доказательств использования или распространения этих данных. Сейчас организация планирует свернуть сервис Hosted Exchange и перевести 30 000 клиентов на новую платформу Microsoft 365. Пока неизвестно, заплатила ли Rackspace выкуп киберпреступникам. Стоит отметить, что сообщение о произошедшем последовало за отчетом ИБ-фирмы Crowdstrike, пролившей свет на новый метод атаки, используемый группировкой Play. Технику назвали OWASSRF, она используется для проведения кибератак на серверы Exchange, к которым не применены патчи, устраняющие уязвимости CVE-2022-41040 и CVE-2022-41082 . Как говорят специалисты, последовательное использование CVE-2022-41080 и CVE-2022-41082, позволяет хакерам удаленно выполнять произвольный код в обход правил блокировки Outlook Web Access (OWA). |
Проверить безопасность сайта