Rackspace 确认 Play 勒索软件是最近网络攻击的幕后黑手

总部位于德克萨斯州的云计算提供商 Rackspace 已确认 Play 勒索软件操作是最近一次网络攻击的幕后黑手，该攻击摧毁了该公司托管的 Microsoft Exchange 环境。

此前，网络安全公司 Crowdstrike 上个月发布了一份报告，该报告详细介绍了勒索软件组织用来破坏 Microsoft Exchange 服务器并获得对受害者网络的访问权限的新漏洞。

该漏洞利用（称为 OWASSRF）允许攻击者绕过Microsoft 提供的ProxyNotShell URL 重写缓解措施，可能是针对允许在 Exchange 服务器上远程提升权限的严重缺陷 ( CVE-2022-41080 )。

他们还设法通过滥用CVE-2022-41082在易受攻击的服务器上远程执行代码，这与 ProxyNotShell 攻击中利用的漏洞相同。

虽然 Crowdstrike 没有在他们的报告中提到受害者的名字，但 Rackspace 官员在最近的当地媒体采访和发给 BleepingComputer 的电子邮件中透露，在其网络上发现了 OWASSRF 漏洞，而 Play 勒索软件是上个月勒索软件攻击的幕后黑手。

“我们现在非常有信心，这种情况的根本原因与与 CVE-2022-41080 相关的零日漏洞利用有关。有关更多信息，请参阅 CrowdStrike 最近的博客。微软将 CVE-2022-41080 披露为特权升级漏洞并且不包括作为可利用的远程代码执行链的一部分的注释，”Rackspace 的首席安全官 Karen O'Reilly-Smith 告诉 BleepingComputer。

“我们感谢 CrowdStrike 在调查过程中为发现此零日漏洞所做的彻底工作，并将与我们的客户和安全社区的同行分享更详细的信息，以便我们共同更好地防御这些类型将来的功绩。”

自发现攻击以来，Rackspace 已向客户提供免费许可证，以将其电子邮件从其托管 Exchange 平台迁移到 Microsoft 365。

该公司还致力于通过其客户门户通过自动队列为受影响的用户提供指向其邮箱（包含 12 月 2 日之前托管的 Exchange 电子邮件数据）的下载链接。

该公司在事件报告页面上表示： “我们正在主动通知客户，我们已经为他们恢复了超过 50% 的邮箱。”

“我们仍在精心工作，将剩余数据上传到门户。一旦可供下载，PST 文件将通过客户门户提供 30 天。”

保护 Exchange 服务器免受 Play 勒索软件攻击

CrowdStrike 表示，OWASSRF 漏洞被用来在 Rackspace 受损的服务器上放置远程访问工具，例如 Plink 和 AnyDesk。

BleepingComputer 还发现，研究人员在网上发现的 Play 勒索软件工具还包含 ConnectWise 远程管理软件，该软件可能会在攻击中部署。

建议所有在其网络上拥有本地 Microsoft Exchange 服务器的组织立即应用最新的 Exchange 安全更新（最低补丁级别为 2022 年 11 月）或禁用 Outlook Web Access (OWA)，直到他们可以应用 CVE-2022 的补丁- 41080。

Play 勒索软件操作于 2022 年 6 月首次被发现，当时第一批受害者开始在BleepingComputer 论坛上寻求帮助。

自推出以来，数十名受害者已将赎金记录和样本上传到 ID Ransomware 平台，以确定使用何种勒索软件来加密他们的文件。

与大多数勒索软件操作不同，Play 帮派附属机构使用电子邮件作为谈判渠道，并且不会在加密系统上投放的赎金票据中向受害者提供指向 Tor 谈判页面的链接。

然而，他们在部署勒索软件有效载荷之前从受害者的网络中窃取数据，并威胁说如果不支付赎金，就会将数据泄露到网上。

最近的 Play 勒索软件受害者包括德国 H-Hotels 连锁酒店、阿根廷科尔多瓦司法机构和比利时安特卫普市。

原文来自: bleepingcomputer.com