Rackspace atrapado por el ransomware Play

En el mundo cada vez más diverso del ransomware, Play Group está comenzando a hacerse un nombre. Y ya tiene varias víctimas en su lista: el departamento de Alpes Marítimos, el ayuntamiento de Amberes, la cadena hotelera alemana H-Hotels... Ahora hay que sumar Rackspace. Este último confirmó que el grupo Play estaba efectivamente detrás del ataque sufrido en diciembre de 2022. Había interrumpido los servidores de Exchange de varios clientes.

La confirmación sigue a un informe publicado el mes pasado por el editor de ciberseguridad Crowdstrike. Luego detalló un exploit utilizado por grupos de ransomware para comprometer los servidores Exchange de Microsoft y obtener acceso a las redes de las víctimas. El ataque, denominado OWASSRF, dio a los piratas informáticos la capacidad de eludir las mitigaciones de reescritura de URL de ProxyNotShell proporcionadas por Microsoft. Para esto, se basó en una falla crítica (CVE-2022-41080) que condujo a una elevación remota de privilegios en los servidores de Exchange. Los atacantes también lograron ejecutar código de forma remota en servidores basados ​​en CVE-2022-41082.

Servidores aún vulnerables a ProxyNotShell

Pero en el análisis de Crowdstrike, no se mencionó la identidad del grupo de ransomware. Rackspace finalmente mostró transparencia al dar el nombre de la pandilla, a pesar de que su identidad ya circulaba en la comunidad cibernética. El proveedor indicó a varios medios que la causa raíz de este ataque es la explotación de la falla de “día cero” asociada a CVE-2022-41080. Aprovecha esta oportunidad para agradecer a Crowdstrike por su minucioso trabajo y quiere compartir la información más detallada con los clientes y la comunidad.

Un esfuerzo de comunicación que no está de más. De hecho, un análisis reciente realizado por Shadowserver Foundation muestra que todavía hay 60 000 servidores Exchange vulnerables a ataques en ProxyNotShell. Por lo tanto, es urgente corregir este equipo.