Cyberthreat.id – Rackspace mengungkapkan bahwa penyerang di balik insiden bulan lalu mengakses beberapa file Personal Storage Table (PST) pelanggannya yang dapat berisi berbagai informasi, termasuk email, data kalender, kontak, dan tugas.

Pembaruan ini muncul setelah Rackspace mengonfirmasi bahwa operasi ransomware Play berada di balik serangan siber yang meruntuhkan lingkungan Microsoft Exchange yang dihostingnya pada bulan Desember.

Dikutip dari Bleeping Computer, seperti yang ditemukan selama penyelidikan yang dipimpin oleh perusahaan keamanan siber Crowdstrike, penyerang memperoleh akses ke folder penyimpanan pribadi dari 27 pelanggan Rackspace. Namun, perusahaan menambahkan bahwa tidak ada bukti bahwa mereka melihat konten file cadangan yang diakses atau menyalahgunakan informasi tersebut

“Dari hampir 30.000 pelanggan di lingkungan email Hosted Exchange pada saat serangan, penyelidikan forensik menentukan pelaku ancaman mengakses Personal Storage Table ('PST') dari 27 pelanggan Hosted Exchange,” kata Rackspace dalam pembaruan laporan insiden.

Rackspace mengatakan, pihaknya telah mengomunikasikan temuan mereka kepada pelanggan secara proaktif. Yang terpenting, tidak ada bukti bahwa pelaku ancaman benar-benar melihat, memperoleh, menyalahgunakan, atau menyebarkan email atau data pelanggan 27 Hosted Exchange di PST.

“Pelanggan yang tidak dihubungi langsung oleh tim Rackspace dapat yakin bahwa data PST mereka tidak diakses oleh pelaku ancaman,” tambah perusahaan.

Sementara RackSpace mengatakan tidak ada bukti bahwa pelaku ancaman mengakses data pelanggan, sejarah menunjukkan bahwa tidak selalu demikian. Selain itu, meskipun data mungkin tidak bocor jika uang tebusan dibayarkan atau karena alasan lain, kemungkinan besar data pelanggan setidaknya dilihat selama serangan.

Sejak menemukan serangan pada tanggal 2 Desember dan mengonfirmasi bahwa pemadaman yang diakibatkannya disebabkan oleh serangan ransomware, Rackspace telah menawarkan lisensi gratis kepada pelanggan yang terpengaruh untuk memigrasikan email mereka dari platform Exchange yang Dihosting ke Microsoft 365.

Penyedia komputasi awan juga memberi pelanggan yang terkena dampak tautan unduhan ke data kotak surat yang dipulihkan (berisi pesan email sebelum 2 Desember) melalui portal pelanggannya melalui antrean otomatis. Sebagai pengingat, kami secara proaktif memberi tahu pelanggan yang telah kami pulihkan lebih dari 50% dari kotak surat mereka.

“Kami akan terus bekerja untuk memulihkan semua data sesuai rencana, namun, secara paralel, kami sedang mengembangkan solusi berdasarkan permintaan untuk pelanggan yang masih ingin mengunduh data mereka,” kata perusahaan.

BleepingComputer bertanya kepada juru bicara Rackspace hari ini jika data email dipulihkan dari cadangan Rackspace atau dengan bantuan alat dekripsi yang disediakan oleh penyerang ransomware Play.  Rackspace menambahkan dalam pembaruan hari ini bahwa lingkungan Hosted Exchange-nya akan dihentikan, dengan mengatakan bahwa pihaknya sudah merencanakan untuk memindahkan pelanggan ke Microsoft 365 bahkan sebelum serangan ransomware bulan Desember.

“Akhirnya, lingkungan email Exchange yang Dihosting tidak akan dibangun kembali sebagai penawaran layanan maju, bahkan sebelum insiden keamanan baru-baru ini, lingkungan email Exchange yang Dihosting telah direncanakan untuk migrasi ke Microsoft 365,” kata mereka.