El gigante de la computación en nube Rackspace ha confirmado que piratas informáticos accedieron a datos de clientes durante el ataque de ransomware del mes pasado.
El ataque, que Rackspace confirmó por primera vez el 6 de diciembre, afectó al entorno de correo electrónico Exchange alojado de la empresa, lo que obligó al gigante web a cerrar el servicio de correo electrónico alojado tras el incidente. En ese momento, Rackspace dijo que desconocía «qué datos se vieron afectados, si es que hubo alguno».
En su última actualización de respuesta a incidentes publicada el viernes, Rackspace admitió que los piratas informáticos accedieron a los datos personales de 27 clientes. Rackspace dijo que los piratas informáticos accedieron a archivos PST, normalmente utilizados para almacenar copias de seguridad y archivados de correos electrónicos, eventos de calendario y contactos de cuentas de Exchange y bandejas de entrada de correo electrónico.
Rackspace dijo que unos 30.000 clientes utilizaban su servicio de Exchange alojado -que ahora suspenderá- en el momento del ataque de ransomware.
«Ya hemos comunicado nuestros hallazgos a estos clientes de forma proactiva y, lo que es más importante, según CrowdStrike, no hay pruebas de que el actor de la amenaza viera, obtuviera, utilizara indebidamente o difundiera de ninguna manera los correos electrónicos o los datos de los 27 clientes de Hosted Exchange en los PST», dijo Rackspace. La empresa añadió que los clientes que no han sido contactados directamente pueden «estar seguros» de que los atacantes no accedieron a sus datos.
Rackspace atribuyó la filtración al grupo de ransomware Play, una banda relativamente nueva que recientemente reivindicó ataques a la ciudad portuaria belga de Amberes y a la cadena hotelera H-Hotels. Los datos robados de Rackspace no aparecen actualmente en el sitio de filtraciones del grupo de ransomware, y no está claro si Rackspace ha pagado una petición de rescate.
Según la actualización del informe del incidente, los actores de la amenaza Play accedieron a las redes de Rackspace aprovechando CVE-2022-41080, un fallo de día cero parcheado por Microsoft en noviembre que se ha relacionado con incidentes de ransomware anteriores.