Cyberattaque

Rackspace confirme que le ransomware Play est à l’origine de la récente cyberattaque

Par Philippe Ternision , le 5 janvier 2023 , mis à jour le 5 janvier 2023 - 4 minutes de lecture
hacker
5/5 - (1 vote)

Le ransomware Play est responsable d’une récente cyberattaque qui a mis hors service les systèmes Microsoft Exchange hébergés par Rackspace, selon le fournisseur de services informatiques en nuage basé en exas.

Cette information fait suite à une étude de Crowdstrike publiée le mois dernier qui décrivait un nouvel exploit exploité par le groupe ransomware pour infiltrer les serveurs Microsoft Exchange et accéder aux réseaux de la victime.

La vulnérabilité (nommée OWASSRF) ciblait apparemment un problème grave (CVE-2022-41080) qui permet l’escalade des privilèges à distance sur les serveurs Exchange et permettait aux attaquants de dépasser les mesures d’atténuation de la réécriture d’URL ProxyNotShell de Microsoft.

En exploitant CVE-2022-41082, la même faille utilisée dans les attaques ProxyNotShell, ils ont également pu obtenir l’exécution de code à distance sur les serveurs sensibles.

Alors que les administrateurs de Rackspace ont admis, lors de récentes apparitions dans les médias locaux et dans des courriels adressés à BleepingComputer, que l’exploit OWASSRF avait été découvert sur leur réseau et que le ransomware Play était responsable de l’attaque par ransomware du mois dernier, Crowdstrike n’a pas nommé la victime dans son rapport.

“Nous sommes maintenant très certains que l’exploit zero-day lié à CVE-2022-41080 est le véritable coupable de cet incident. Pour plus de détails, voir un récent billet de blog de CrowdStrike. Microsoft n’a pas mentionné que CVE-2022-41080 était un composant d’une chaîne d’exécution de code à distance exploitable lorsqu’il a signalé la vulnérabilité d’élévation de privilèges. ” Selon Karen O’Reilly-Smith, responsable de la sécurité chez Rackspace, BleepingComputer.

“Nous remercions CrowdStrike pour son travail diligent dans la localisation de cet exploit zero-day au cours de cette enquête et nous partagerons des informations plus détaillées avec nos clients et nos pairs dans la communauté de la sécurité afin que, collectivement, nous puissions tous mieux nous défendre contre ces types d’exploits à l’avenir “, peut-on lire dans un communiqué de CrowdStrike.

Depuis que l’attaque a été identifiée, Rackspace a offert à ses clients des licences gratuites pour déplacer leur messagerie de son infrastructure Hosted Exchange vers Microsoft 365.

En outre, l’entreprise essaie de mettre automatiquement en file d’attente les liens de téléchargement vers les boîtes aux lettres des utilisateurs concernés, qui contiennent des données de messagerie Hosted Exchange avant le 2 décembre.

Selon la déclaration de l’entreprise sur le site Web du rapport d’événement, “Nous alertons de manière proactive les consommateurs pour ceux dont nous avons récupéré plus de 50 % de leurs boîtes aux lettres.”

“Nous essayons toujours avec diligence de mettre les dernières données dans la plateforme. Les fichiers PST seront accessibles via le portail client pendant 30 jours après leur mise à disposition pour le téléchargement.”

Défendre les serveurs Exchange contre les attaques de ransomware Play

Selon CrowdStrike, l’exploit OWASSRF a été utilisé pour installer des programmes d’accès à distance comme Plink et AnyDesk sur les serveurs Rackspace qui avaient été compromis.

En outre, l’outillage du ransomware Play découvert en ligne par les chercheurs comprend le logiciel d’administration à distance ConnectWise, qui sera probablement utilisé dans les attaques, selon BleepingComputer.

Il est recommandé à toutes les entreprises utilisant des serveurs Microsoft Exchange sur site d’installer immédiatement les mises à jour de sécurité les plus récentes (novembre 2022 étant le niveau de correctif minimum) ou de désactiver Outlook Web Access (OWA) jusqu’à ce que les correctifs CVE-2022-41080 puissent être installés.

De nombreuses victimes ont utilisé la plateforme ID Ransomware pour identifier le ransomware qui a chiffré leurs fichiers en téléchargeant des notes de rançon et des échantillons de fichiers depuis son lancement.

Play ransomware activity

Activité du ransomware Play (ID Ransomware)

Contrairement à la majorité des opérations de ransomware, les membres du gang Play utilisent le courrier électronique comme voie de négociation et ne déposent pas de liens vers une page de négociation Tor dans les notes de rançon déposées sur les ordinateurs chiffrés.

Toutefois, avant de livrer les charges utiles des ransomwares, ils prélèvent des données sur les réseaux de leurs victimes et menacent de les publier en ligne si la rançon n’est pas payée.

Parmi les victimes récentes du ransomware Play figurent la ville belge d’Anvers, l’entreprise hôtelière allemande H-Hotels et le pouvoir judiciaire de Córdoba en Argentine.

 

 

 

  • Play Music Publishing SARFATI PASCAL - LA BASSE AU MEDIATOR + CD
    Comme l’indique clairement son titre, cette méthode, qui s’adresse aussi bien aux débutants qu’aux bassistes confirmés, est intégralement dédiée à la technique du jeu au médiator à la basse. Cette technique, longtemps réservée aux guitaristes, a vu sa pratique se développer massivement chez les bassistes de tous horizons durant les dernières décennies. A tel point d’ailleurs, qu’elle est aujourd’hui aussi importante à maîtriser que la technique du jeu en buté. Et ce, tant pour le son spécifique qu’elle génère que l’incroyable précision qu’elle permet, notamment à des tempi élevés. Avec cette méthode, vous apprendrez tout d’abord à tenir le médiator de la meilleure des manières, mais aussi à placer au mieux la main qui le tient sur la basse. Vous pourrez alors aborder vos premiers exercices “techniques” sur des cordes à vide, avant de groover “musicalement” sur les arpèges et les gammes. Vous y aborderez bien sûr les différentes techniques de main droite (aller/retour, découpage rythmique), avant de les combiner avec celles de la main gauche (ghost notes, hammer-on, pull-off). Et tout cela au travers de multiples lignes et grooves, binaires ou ternaires, dans divers styles musicaux. Tout un programme ! Sur le disque joint à la méthode, vous trouverez plus de 200 fichiers audios et vidéos. Les vidéos (mp4) reprennent en images tous les exemples, exercices et autres grooves, pour vous aider à lever le voile sur les difficultés techniques qu’ils engendrent. Les enregistrements audios (mp3), pour leur part, proposent les playbacks correspondant aux nombreuses lignes de basse présentées, afin de vous permettre de tester “en situation” votre mise en place et votre rigueur rythmique.
Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.