image

Rackspace: ransomwaregroep had toegang tot e-mail van klanten

vrijdag 6 januari 2023, 09:52 door Redactie, 8 reacties

De criminelen die de hosted Exchange-omgeving van Rackspace met ransomware infecteerden hebben toegang gehad tot de e-mail van tientallen klanten, zo heeft het bedrijf bekendgemaakt. Eerder werd al duidelijk dat de aanval had plaatsgevonden via een bekende kwetsbaarheid in Exchange waarvoor Rackspace had nagelaten de beschikbare beveiligingsupdate te installeren. Een woordvoerder stelde dat er was besloten de patch niet te installeren omdat er operationele problemen mee zouden zijn.

Volgens Rackspace hebben de criminelen van 27 klanten de Personal Storage Table (PST) bestanden benaderd. Deze bestanden kunnen e-mails, contacten, notities, taken en kalenderafspraken bevatten. Hoewel de criminelen toegang tot de PST-bestanden hadden claimt Rackspace dat er geen bewijs is dat e-mails of gegevens in de PST-bestanden zijn bekeken, bemachtigd of misbruikt. Getroffen klanten zijn door Rackspace ingelicht.

Verder heeft Rackspace besloten om de hosted Exchange-omgeving niet te herbouwen. Het bedrijf stelt dat er al plannen waren om naar Microsoft 365 te migreren. De afgelopen weken is Rackspace bezig geweest met het herstellen van de gegevens van klanten. Deze operatie is nog altijd niet afgerond en wanneer dit precies zal zijn is onbekend. Rackspace zegt verder dat het met klanten en vakgenoten in de securitygemeenschap informatie over de aanval zal delen.

Reacties (8)
06-01-2023, 11:04 door Anoniem
Een woordvoerder stelde dat er was besloten de patch niet te installeren omdat er operationele problemen mee zouden zijn.
Dat is altijd het gevaar bij het patchen van Microsoft producten en de reden waarom gebruikers het uitstellen.
Dus of operationele problemen of ransomware problemen. Of te wel beter stoppen met dit product.
06-01-2023, 12:16 door Anoniem
Door Anoniem:
Een woordvoerder stelde dat er was besloten de patch niet te installeren omdat er operationele problemen mee zouden zijn.
Dat is altijd het gevaar bij het patchen van Microsoft producten en de reden waarom gebruikers het uitstellen.
Dus of operationele problemen of ransomware problemen. Of te wel beter stoppen met dit product.
Ik vind het maar een hele vreemde redenatie van zo'n bedrijf om niet te patchen terwijl er nog zo voor het probleem gewaarschuwd wordt.

Ik weet, het aanbrengen van updates en patches zijn niet altijd even probleemloos, maar uit ervaring weet ik dat dit ook vaak te maken had met het veel te lang uitstellen met het aanbrengen van die patches en updates maar ook dat het vaak met andere technische problemen te maken had die over het hoofd werden gezien.

Maar dan nog, zo'n bedrijf als Rackspace kan het zich gewoon niet permitteren om niet te patchen ongeacht welk probleem, mag toch hopen dat ze voldoende IT professionals in dienst hebben om zo'n klus te klaren?

Zo niet dan snel maken dat je er weg komt om erger te voorkomen.
06-01-2023, 13:04 door Anoniem
Door Anoniem:
Door Anoniem:
Een woordvoerder stelde dat er was besloten de patch niet te installeren omdat er operationele problemen mee zouden zijn.
Dat is altijd het gevaar bij het patchen van Microsoft producten en de reden waarom gebruikers het uitstellen.
Dus of operationele problemen of ransomware problemen. Of te wel beter stoppen met dit product.
Ik vind het maar een hele vreemde redenatie van zo'n bedrijf om niet te patchen terwijl er nog zo voor het probleem gewaarschuwd wordt.

Ik weet, het aanbrengen van updates en patches zijn niet altijd even probleemloos, maar uit ervaring weet ik dat dit ook vaak te maken had met het veel te lang uitstellen met het aanbrengen van die patches en updates maar ook dat het vaak met andere technische problemen te maken had die over het hoofd werden gezien.

Maar dan nog, zo'n bedrijf als Rackspace kan het zich gewoon niet permitteren om niet te patchen ongeacht welk probleem, mag toch hopen dat ze voldoende IT professionals in dienst hebben om zo'n klus te klaren?

Zo niet dan snel maken dat je er weg komt om erger te voorkomen.
Rackspace had nooit moeten toegeven om een exchange dienst op te zetten voor klanten. Dom management.
06-01-2023, 13:17 door Anoniem
Door Anoniem:
Rackspace had nooit moeten toegeven om een exchange dienst op te zetten voor klanten. Dom management.
Tja ik weet niet hoe lang ze dat al hadden. Maar sinds Office365 / Outlook.com grootschalig in de lucht is moet je dat
inderdaad niet meer willen.

Maar: KPN is hier ook groots mee actief. De e-mail van hun eigen internet klanten draait zelfs op Exchange. Heb ik
ook altijd wat vreemd gevonden, ben benieuwd hoe lang dat nog goed gaat. Misschien toch maar migreren naar het
XS4ALL platform, ipv omgekeerd zoals nu gedaan is?
06-01-2023, 14:32 door Anoniem
Door Anoniem:
Door Anoniem:
Rackspace had nooit moeten toegeven om een exchange dienst op te zetten voor klanten. Dom management.
Tja ik weet niet hoe lang ze dat al hadden. Maar sinds Office365 / Outlook.com grootschalig in de lucht is moet je dat
inderdaad niet meer willen.

Maar: KPN is hier ook groots mee actief. De e-mail van hun eigen internet klanten draait zelfs op Exchange. Heb ik
ook altijd wat vreemd gevonden, ben benieuwd hoe lang dat nog goed gaat. Misschien toch maar migreren naar het
XS4ALL platform, ipv omgekeerd zoals nu gedaan is?
Zie freedom.nl
06-01-2023, 16:21 door Anoniem
Nogal wiedes exchange had een zeroday lek. Dan valt er niets te patchen. Werd dus al uitgebuit met rackspace als slachtoffer
08-01-2023, 10:19 door Anoniem
@zeroday lek, dat klopt als je patient0 bent. Maar zodra een 0-day lek in gebruik is genomen wordt het opgemerkt en begint men signatures te maken en verspreiden. Als er geen patch is kun je vaak al wel op IDS/IPS/EDR niveau mogelijk misbruik monitoren. Afhankelijk van de vulnerability kun je een eigen firewall / WAF / EDR regel schrijven als tijdelijke mitigatie totdat er een patch is. Niks doen is natuurlijk altijd makkelijker maar zoals men ziet, niet perse goedkoper :-)
09-01-2023, 07:41 door Anoniem
Door Anoniem: @zeroday lek, dat klopt als je patient0 bent. Maar zodra een 0-day lek in gebruik is genomen wordt het opgemerkt en begint men signatures te maken en verspreiden. Als er geen patch is kun je vaak al wel op IDS/IPS/EDR niveau mogelijk misbruik monitoren. Afhankelijk van de vulnerability kun je een eigen firewall / WAF / EDR regel schrijven als tijdelijke mitigatie totdat er een patch is. Niks doen is natuurlijk altijd makkelijker maar zoals men ziet, niet perse goedkoper :-)
Dat lek werd natuurlijk ook al lang uitgebuit voordat het als 0-day bekend was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.