Beheer

Security
Exchange Server icon

Mailboxen van Rackspace-klanten gecompromitteerd in aanval

Aanvallers hadden toegang, maar er is 'geen bewijs dat mails zijn gelezen of gestolen'.

© Microsoft
9 januari 2023

Aanvallers hadden toegang, maar er is 'geen bewijs dat mails zijn gelezen of gestolen'.

Een handjevol klanten van het gehackte hostingbedrijf Rackspace is gewaarschuwd dat aanvallers toegang hebben verkregen tot hun mailboxen. Het gaat om de PST-bestanden (Personal Storage Table) van Exchange Servers die Rackspace als gehoste dienst draait. Het bedrijf stelt dat er geen bewijs is dat de aanvallers deze gevoelige informatie van klanten ook echt hebben bekeken, gestolen of misbruikt.

Deze geruststellende bedoelde verklaring lijkt nogal tegenstrijdig; dat de daders achter de ransomware-aanval op Rackspace wél bij PST-bestanden zijn gekomen maar dat ze die toegang niet hebben benut. Een verklaring hiervoor kan juridische formulering zijn waarbij kwesties meespelen als wel/geen hard bewijs en eventuele aansprakelijkheid plus mogelijke, latere rechtszaken van klanten.

Nieuwe Exchange-aanvalsmethode

Rackspace doet de claim van wel toegang maar geen bewijs voor "bekijken, verkrijgen, misbruiken of verspreiden van e-mails of data in de PST's" op basis van forensisch onderzoek door securityspecialist CrowdStrike. "We dringen er bij alle organisaties en securityteams op aan om het blog te lezen dat CrowdStrike recent heeft gepubliceerd over deze exploit", schrijft de hoster in een update van eind vorige week. Die blogpost kan klanten - en andere organisaties - namelijk leren om zich te beschermen tegen een gloednieuwe aanvalsmethode voor Microsoft Exchange.

Van de bijna 30.000 Rackspace-klanten die Hosted Exchange gebruiken, zijn volgens het forensisch onderzoek slechts 27 stuks slachtoffer van toegang door de aanvallers tot hun PST-bestanden. Deze klanten zijn ieder ingelicht, wat volgens Rackspace proactief is gedaan. "Klanten die niet direct door het Rackspace-team zijn gecontacteerd kunnen er gerust van zijn dat de threat actor geen toegang had tot hun PST-data", aldus de hostingaanbieder.

Gebrek is geen bevestiging

Het gebrek aan bewijs voor lezen, kopiëren, verzenden of verrichten van andere handelingen met de mailboxen van klanten betekent echter niet dat alles veilig is. Cybercriminelen kunnen hun sporen mogelijk goed genoeg gewist hebben. Daarbij kan onderzoek naderhand óf geen sporen vinden óf geen duidelijk, hard bewijs. Ransomware- en hackaanvallen in het verleden hebben al de flinke technische kwaliteiten en sluwe zakelijke praktijken van cybercriminelen duidelijk gemaakt. Soms is dubbele afpersing van een gehackt bedrijf het doel, soms ook nog eens afpersing van diens klanten zoals eind 2020 is gedaan bij cliënten van een Fins psychoterapeuthisch centrum.

Lees meer over
1
Reacties
Bop 26 januari 2023 13:55

'Meelbukzen' zijn een soort voorraaddozen.
Maar in dit geval worden brievenbussen bedoeld.
In het Engels trouwens mailboxes.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.