ΑρχικήsecurityΤο Play ransomware υπεύθυνο για την επίθεση στην Rackspace

Το Play ransomware υπεύθυνο για την επίθεση στην Rackspace

Η Rackspace, πάροχος cloud computing με έδρα το Τέξας, επιβεβαίωσε ότι η επιχείρηση Play ransomware ήταν πίσω από μια πρόσφατη κυβερνοεπίθεση που έθεσε εκτός λειτουργίας τα hosted περιβάλλοντα Microsoft Exchange της εταιρείας.

Τον περασμένο μήνα εκδόθηκε έκθεση από την εταιρεία κυβερνοασφάλειας Crowdstrike, η οποία αποκάλυψε ένα νέο exploit που χρησιμοποιούν συμμορίες ransomware για να παραβιάσουν τους servers Microsoft Exchange και να αποκτήσουν πρόσβαση στα δίκτυα ενός οργανισμού.

Το νέο exploit, με το όνομα (OWASSRF) επιτρέπει την παράκαμψη των rewrite μέτρων του ProxyNotShell που παρέχεται από την Microsoft στοχεύοντας πιθανότατα στην CVE-2022-41080 ευπάθεια που επιτρέπει την απομακρυσμένη κλιμάκωση προνομίων σε Exchange servers.

Επίσης, κατάφεραν να αποκτήσουν απομακρυσμένη εκτέλεση κώδικα σε ευάλωτους servers κάνοντας κατάχρηση του CVE-2022-41082, του ίδιου σφάλματος που εκμεταλλεύτηκε τις επιθέσεις ProxyNotShell.

Δείτε επίσης: Twitter: Διέρρευσαν email 200 εκατομμυρίων χρηστών

Play ransomware

Ενώ η ίδια η Crowdstrike δεν κατονόμασε το θύμα της επίθεσης στην έκθεση της, οι ίδιοι οι υπάλληλοι της Rackspace μίλησαν στα τοπικά μέσα ενημέρωσης για το πως βρέθηκε το OWASSRF exploit στο δίκτυο τους και πως η επιχείρηση Play ransomware ήταν πίσω από την κυβερνεπίθεση.

Η υπεύθυνος ασφαλείας της Rackspace, Karen O’Reilly-Smith δηλώνει πως είναι πλέον σίγουρη ότι η βασική αιτία της αιτίας βρίσκεται πίσω από την zero-day ευπάθεια CVE-2022-41080 και πως θα κοινοποιήσουν όλες τις πληροφορίες στους πελάτες και συνεργάτες της εταιρείας.
Οι πελάτες μετά την επίθεση έλαβαν δωρεάν άδειες για να μεταβιβάσουν τα email τους από την Hosted Exchange πλατφόρμα, στην Microsoft 365.

Προστατέψτε τους Exchange servers από τις Play επιθέσεις ransomware

Η CrowdStrike δήλωσε ότι το OWASSRF exploit χρησιμοποιήθηκε για το drop εργαλείων απομακρυσμένης πρόσβασης, όπως το Plink και το AnyDesk, στους παραβιασμένους servers της Rackspace. Στα «εργαλεία» του Play ransomware βρέθηκε επίσης το ConnectWise, εργαλείο απομακρυσμένης διαχείρισης που πιθανότατα εμπλέκεται και αυτό στις επιθέσεις.

Όσοι οργανισμοί χρησιμοποιούν στο δίκτυό τους, on-premises Microsoft Exchange servers, καλούνται να κάνουν τα τελευταία update, με minimum έκδοση, αυτή του Νοεμβρίου. Ειδάλλως, άλλη λύση είναι να απενεργοποιήσουν το OWA (Outlook Web Access) μέχρι να κυκλοφορήσει το patch για την ευπάθεια «CVE-2022-41080».

Η επιχείρηση Play ransomware εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022.

Play ransomware

Σε αντίθεση με άλλες επιχειρήσεις ransomware, τα μέλη της συμμορίας Play προτιμούν να διαπραγματεύονται με τα θύματα μέσω ηλεκτρονικού ταχυδρομείου και δεν περιλαμβάνουν συνδέσμους προς μια σελίδα διαπραγμάτευσης Tor στα σημειώματα των λύτρων.
Παρ’ όλα αυτά, προτού κάνουν drop τα ransomware payload, οι χάκερ κλέβουν δεδομένα από τα δίκτυα των θυμάτων τους και απειλούν να τα απελευθερώσουν στο διαδίκτυο, εκτός αν καταβληθούν τα λύτρα.

Στα πρόσφατα θύματα του Play ransomware περιλαμβάνονται η γερμανική αλυσίδα ξενοδοχείων H-Hotels, η δικαστική αρχή της Κόρδοβα και η πόλη της Αμβέρσας στο Βέλγιο.

Πηγή πληροφοριών: bleepingcomputer.com

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS