Cette attaque est liée à l’offensive des hackers Play et a interrompu le flux d’e-mails de 30 000 clients. La fuite concerne les données de 27 clients, a confirmé Rackspace.
Début décembre, l’entreprise spécialisée en cloud computing Rackspace a annoncé qu’elle était victime d’une attaque de ransomware. Rackspace a réagi à l’attaque en fermant plusieurs serveurs, laissant les clients incapables ou à peine capables d’accéder à leurs mails. L’entreprise accuse le groupe de pirates Play comme instigateur du désordre. L’attaque aurait capturé les données de 27 clients. Play, c’est le groupe qui est également à l’origine de la cyberattaque contre la ville d’Anvers.
Accès aux fichiers PST
Vendredi dernier, Rackspace a publié une mise à jour sur l’attaque. Le géant du cloud a confirmé que les pirates ont eu accès aux données personnelles de 27 clients. Les pirates ont pu accéder jusqu’aux fichiers PST. Il s’agit de fichiers utilisés pour stocker des sauvegardes et des copies archivées de courriels, de contacts de comptes Exchange, d’événements de calendrier et de boîtes de réception de courriel. Rackspace admet que 30 000 clients utilisaient son service Exchange hébergé au moment de l’attaque.
« Nous avons personnellement et proactivement contacté les clients concernés », a déclaré Rackspace dans le communiqué. « Selon CrowdStrike, rien ne prouve que l’attaquant ait effectivement consulté, obtenu, utilisé à mauvais escient ou distribué les e-mails ou les données des 27 clients Exchange. Les clients qui n’ont pas été contactés par nous sont assurés que leurs données n’ont pas été consultées par les attaquants. »
Groupe de ransomware Play
Selon Rackspace, le collectif de hackers Play est responsable de l’attaque. Il s’agit d’un groupe relativement nouveau qui a aussi récemment attaqué la ville d’Anvers. La chaîne hôtelière H-Hotels a également été victime de Play. « L’enquête forensique a montré que l’attaquant a utilisé une vulnérabilité de sécurité précédemment inconnue pour accéder à l’environnement de messagerie Exchange. Ce « zero day » est lié à CVE-2022-41080 », a déclaré Rackspace.
Microsoft a corrigé cette vulnérabilité, qui a été liée à de multiples incidents de ransomware. C’est une vulnérabilité d’escalade de privilèges. Les données volées à Rackspace ne sont pas mentionnées sur le site de fuite du groupe (pour l’instant). Il n’est pas clair si Rackspace a payé une rançon. « Maintenant que l’enquête est terminée, nous ne publierons plus de mises à jour. Cependant, nos équipes du service clientèle continueront à travailler directement avec nos clients pour rendre leurs données disponibles. »