Rackspace 确认 Play 勒索软件是最近网络攻击的幕后黑手

admin 2023年1月7日13:29:24安全新闻评论4 views1883字阅读6分16秒阅读模式

更多全球网络安全资讯尽在邑安全

Rackspace 确认 Play 勒索软件是最近网络攻击的幕后黑手

总部位于德克萨斯州的云计算提供商 Rackspace 已确认 Play 勒索软件操作是最近一次网络攻击的幕后黑手,该攻击摧毁了该公司托管的 Microsoft Exchange 环境。

此前,网络安全公司 Crowdstrike 上个月发布了一份报告,该报告详细介绍了勒索软件组织用来破坏 Microsoft Exchange 服务器并获得对受害者网络的访问权限的新漏洞

该漏洞利用(称为 OWASSRF)允许攻击者绕过Microsoft 提供的ProxyNotShell URL 重写缓解措施,可能是针对允许在 Exchange 服务器上远程提升权限的严重缺陷 ( CVE-2022-41080 )。

他们还设法通过滥用CVE-2022-41082在易受攻击的服务器上远程执行代码,这与 ProxyNotShell 攻击中利用的漏洞相同。

虽然 Crowdstrike 没有在他们的报告中提到受害者的名字,但 Rackspace 官员在最近的当地媒体采访和发给 BleepingComputer 的电子邮件中透露,在其网络上发现了 OWASSRF 漏洞,而 Play 勒索软件是上个月勒索软件攻击的幕后黑手。

“我们现在非常有信心,这种情况的根本原因与与 CVE-2022-41080 相关的零日漏洞利用有关。有关更多信息,请参阅 CrowdStrike 最近的博客。微软将 CVE-2022-41080 披露为特权升级漏洞并且不包括作为可利用的远程代码执行链的一部分的注释,”Rackspace 的首席安全官 Karen O'Reilly-Smith 告诉 BleepingComputer。

“我们感谢 CrowdStrike 在调查过程中为发现此零日漏洞所做的彻底工作,并将与我们的客户和安全社区的同行分享更详细的信息,以便我们共同更好地防御这些类型将来的功绩。”

自发现攻击以来,Rackspace 已向客户提供免费许可证,以将其电子邮件从其托管 Exchange 平台迁移到 Microsoft 365。

该公司还致力于通过其客户门户通过自动队列为受影响的用户提供指向其邮箱(包含 12 月 2 日之前托管的 Exchange 电子邮件数据)的下载链接。

该公司在事件报告页面上表示: “我们正在主动通知客户,我们已经为他们恢复了超过 50% 的邮箱。”

“我们仍在精心工作,将剩余数据上传到门户。一旦可供下载,PST 文件将通过客户门户提供 30 天。”

保护 Exchange 服务器免受 Play 勒索软件攻击

CrowdStrike 表示,OWASSRF 漏洞被用来在 Rackspace 受损的服务器上放置远程访问工具,例如 Plink 和 AnyDesk。

BleepingComputer 还发现,研究人员在网上发现的 Play 勒索软件工具还包含 ConnectWise 远程管理软件,该软件可能会在攻击中部署。

建议所有在其网络上拥有本地 Microsoft Exchange 服务器的组织立即应用最新的 Exchange 安全更新(最低补丁级别为 2022 年 11 月)或禁用 Outlook Web Access (OWA),直到他们可以应用 CVE-2022 的补丁- 41080。

Play 勒索软件操作于 2022 年 6 月首次被发现,当时第一批受害者开始在BleepingComputer 论坛上寻求帮助。

自推出以来,数十名受害者已将赎金记录和样本上传到 ID Ransomware 平台,以确定使用何种勒索软件来加密他们的文件。

Rackspace 确认 Play 勒索软件是最近网络攻击的幕后黑手

与大多数勒索软件操作不同,Play 帮派附属机构使用电子邮件作为谈判渠道,并且不会在加密系统上投放的赎金票据中向受害者提供指向 Tor 谈判页面的链接。

然而,他们在部署勒索软件有效载荷之前从受害者的网络中窃取数据,并威胁说如果不支付赎金,就会将数据泄露到网上。

最近的 Play 勒索软件受害者包括德国 H-Hotels 连锁酒店阿根廷科尔多瓦司法机构比利时安特卫普市

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/rackspace-confirms-play-ransomware-was-behind-recent-cyberattack/

欢迎收藏并分享朋友圈,让五邑人网络更安全

Rackspace 确认 Play 勒索软件是最近网络攻击的幕后黑手

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



原文始发于微信公众号(邑安全):Rackspace 确认 Play 勒索软件是最近网络攻击的幕后黑手

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日13:29:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Rackspace 确认 Play 勒索软件是最近网络攻击的幕后黑手 http://cn-sec.com/archives/1502941.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: