Die Hacker hinter dem Ransomware-Angriff auf den Cloud-Computing-Anbieter Rackspace griffen auch auf die E-Mail-Daten einer kleinen Untergruppe von Kunden zu.
Angreifer hatten Zugriff auf die Personal Storage Table von 27 Hosted Exchange-Kunden des Unternehmens Rackspace gemeldet(Öffnet in einem neuen Fenster) am Donnerstag. Dieselbe Speichertabelle enthält Kalenderereignisse, Kontakte und E-Mail-Nachrichten, wodurch betroffene Kunden einem ernsthaften Risiko ausgesetzt sind, Daten offenzulegen.
Rackspace fügte jedoch hinzu: „Es gibt keine Beweise dafür, dass der Angreifer tatsächlich E-Mails oder Daten in den PSTs für einen der 27 Hosted Exchange-Kunden in irgendeiner Weise eingesehen, erhalten, missbraucht oder verbreitet hat“, unter Berufung auf forensische Erkenntnisse aus der Cybersicherheit von Crowdstrike.
Das in Texas ansässige Unternehmen Rackspace stellte das Update einen Monat nach einem Ransomware-Angriff zur Verfügung, der den Zugang zu seinem Hosted Exchange-Geschäft unterbrochen hatte, das Cloud-basierte E-Mail-Dienste für 30.000 Kunden anbietet. Rackspace macht nun eine relativ neue Ransomware-Gang namens Play für den Angriff verantwortlich.
Die forensische Untersuchung des Unternehmens ergab, dass die Gruppe eine zuvor unbekannte Angriffsmethode in Microsoft Exchange Server verwendete, um Zugriff auf die Hosted Exchange-Systeme von Rackspace zu erhalten. Die Angriffsmethode ist tatsächlich mit der verbunden CVE-2022-41080(Öffnet in einem neuen Fenster) Sicherheitslücke, die im November offengelegt wurde und einem Hacker erhöhte Rechte geben kann, sobald er sich in einer Exchange Server-Umgebung befindet. Rackspace entdeckte jedoch, dass die Hacker den Fehler auch nutzten, um ihnen dabei zu helfen, betrügerischen Computercode über die Systeme des Unternehmens auszuführen.
Massenschlag gesichtet(Öffnet in einem neuen Fenster) die Ransomware-Bande Play nutzt denselben Angriffsvektor aus, um Opfer anzugreifen. Es stellte jedoch fest, dass die Installation eines November-Patches die Bedrohung stoppen kann – ein Hinweis darauf, dass Rackspace mit der Installation von Sicherheitsupdates für seine Hosted Exchange-Systeme zu langsam war.
Als Reaktion auf die Verletzung sagt Rackspace, dass es seine Hosted Exchange-E-Mail-Umgebung aufgeben wird. Stattdessen setzt das Unternehmen bestehende Pläne fort, Kundenkonten auf Microsoft 365 zu migrieren. In der Zwischenzeit wird Rackspace Email als Alternative für Kunden angeboten, die Microsoft 365 nicht nutzen möchten.
Von unseren Redakteuren empfohlen
„Während die E-Mail-Umgebung von Hosted Exchange nur ein kleiner Teil unseres Geschäfts war, repräsentiert sie Tausende von langjährigen und treuen Kunden, die wir sehr schätzen“, fügte das Unternehmen hinzu.
Darüber hinaus hat Rackspace daran gearbeitet, E-Mail-Datenbanken für betroffene Kunden wiederherzustellen. „Stand heute stehen mehr als der Hälfte der betroffenen Kunden einige oder alle ihrer Daten zum Download zur Verfügung“, sagte das Unternehmen. „Allerdings haben weniger als 5 % dieser Kunden die von uns zur Verfügung gestellten Postfächer tatsächlich heruntergeladen. Dies zeigt uns, dass viele unserer Kunden Daten lokal gesichert, archiviert haben oder die historischen Daten anderweitig nicht benötigen.“
Es bleibt unklar, ob Rackspace die Ransomware-Bande jemals bezahlt hat. Aber seit dem 2. Dezember wurden keine Spuren der Hacker in den Systemen des Unternehmens entdeckt.
Gefällt dir, was du liest?
Melden Sie sich an für Sicherheitswache Newsletter für unsere wichtigsten Datenschutz- und Sicherheitsgeschichten, die direkt in Ihren Posteingang geliefert werden.
Dieser Newsletter kann Werbung, Angebote oder Affiliate-Links enthalten. Das Abonnieren eines Newsletters erklärt Ihr Einverständnis mit unseren Nutzungsbedingungen und Datenschutz-Bestimmungen. Sie können die Newsletter jederzeit abbestellen.