Dans le monde de plus en plus diversifié des ransomwares, le groupe Play commence à se faire un nom. Et il a déjà plusieurs victimes à son tableau de chasse : le département des Alpes-Maritimes, la mairie d’Anvers, la chaîne d’hôtellerie allemande H-Hotels... Il faut maintenant y ajouter Rackspace. Ce dernier a confirmé que le groupe Play était bien derrière l’attaque subie en décembre 2022. Elle avait perturbé les serveurs Exchange de plusieurs clients.  

La confirmation fait suite à un rapport publié le mois dernier par l’éditeur de cybersécurité Crowdstrike. Il détaillait alors un exploit utilisé par les groupes de ransomware pour compromettre les serveurs Exchange de Microsoft et accéder aux réseaux des victimes. L’attaque, baptisée OWASSRF, donnait aux pirates la capacité de contourner les mesures d’atténuation de la réécriture d’URL ProxyNotShell fournies par Microsoft. Pour cela, elle s’appuyait sur une faille critique (CVE-2022-41080) menant à une élévation de privilège à distance sur les serveurs Exchange. Les attaquants ont par ailleurs réussi à exécuter du code à distance sur les serveurs en s’appuyant sur la CVE-2022-41082.

Des serveurs encore vulnérables à ProxyNotShell

Mais dans l'analyse de Crowdstrike, il n’y avait aucune mention de l’identité du groupe de ransomware. Rackspace a finalement fait œuvre de transparence en donnant le nom du gang, même si son identité circulait déjà dans la communauté cyber. A plusieurs médias, le fournisseur a indiqué que la cause première de cette attaque est l’exploitation de la faille « zero day » associé à la CVE-2022-41080. Il en profite pour remercier Crowdstrike pour son travail approfondi et souhaite partager les informations plus détaillées avec les clients et la communauté.

Un effort de communication qui n’est pas superflue. En effet, une récente analyse de la Shadowserver Foundation montre qu’il reste encore 60 000 serveurs Exchange vulnérables aux attaques sur ProxyNotShell. Il est donc urgent de corriger ces équipements.