Rackspace frappé avec le ransomware Play via ProxyNotShell

[Mise à jour, le 4 janvier 2023 @ 19h55] Karen O’Reilly-Smith, RSSI de Rackspacem a indiqué à nos confrères de Cybersecuritydive, que la cyberattaque survenue début décembre a été conduite par un affilié de la franchise de ransomware Play ayant exploité la vulnérabilité CVE-2022-41080, liée au lot dit ProxyNotShell. L’attaque a commencé par la compromission d’un compte utilisateur client. Rackspace ne précise pas si la rançon demandée a été payée ou non.

[Article original, le 7 décembre 2022 @ 22h25] Rackspace a confirmé qu’une cyberattaque avec ransomware était à l’origine des récentes pannes de son service hébergé Microsoft Exchange.

Le fournisseur de services cloud a révélé l’attaque dans un communiqué de presse. Cette révélation fait suite à un week-end tumultueux pour Rackspace, qui avait annoncé samedi que son environnement Hosted Exchange était victime de pannes dues à un « incident de sécurité ». Celui-ci se traduisait par des « activités suspectes » dès le vendredi 2 décembre.

Les pannes sont en cours de résolution, selon la page d’état du fournisseur, et Rackspace est en train de migrer ses clients Hosted Exchange vers Microsoft 365 pour limiter les perturbations.

Selon le communiqué de presse, Rackspace pense que la violation est limitée à son environnement Hosted Exchange. Il indique avoir pris des mesures immédiates pour l’isoler une fois la compromission détectée. En outre, le fournisseur a déclaré avoir « engagé une société de cyberdéfense de premier plan » pour travailler aux côtés de son équipe de sécurité interne. Le nom de ce tiers externe n’a pas été précisé.

« Les autres produits et services de Rackspace Technology sont pleinement opérationnels, et la société n’a pas subi d’impact sur sa gamme de produits et sa plateforme de messagerie électronique », indique le communiqué de presse. « Par excès de prudence, Rackspace Technology a mis en place des mesures de sécurité supplémentaires et continuera à surveiller activement toute activité suspecte ».

Sur sa page d’état, le fournisseur a déclaré qu’en raison du stade de l’enquête, « il est trop tôt pour dire quelles données, le cas échéant, ont été affectées ». Et d’assurer qu’il informera ses clients concernés s’il découvre que des données ont été volées.

Rackspace n’a pas évoqué la demande de rançon ni indiqué s’il a décidé de la payer. Rien non plus sur le rançongiciel impliqué ni le vecteur d’intrusion. La société a décliné la demande des équipes éditoriales de TechTarget pour plus de détails, invoquant l’enquête en cours.

Dans son communiqué de presse, Rackspace précise que l’incident « a causé et peut continuer à causer une interruption de son activité Hosted Exchange et peut entraîner une perte de revenus pour l’activité Hosted Exchange, qui génère environ 30 millions de dollars de revenus annuels dans le segment Apps & Cross Platform ». Et d’ajouter que la cyberattaque est susceptible d’engendrer « des coûts additionnels associés à sa réponse à l’incident ».

Ce lundi 5 décembre au soir (outre-Atlantique), Rackspace a indiqué avoir déjà migré « des milliers de clients » de son service Hosted Exchange vers Microsoft 365, sans toutefois préciser le nombre de clients affectés par l’attaque.