לא משחקים: ההאקרים חברי Play הם אלה שתקפו את רקספייס

משחק? בטח לא בעיני רקספייס: כנופיית הכופרה Play היא שעמדה מאחורי מתקפת הסייבר שהפילה בדצמבר האחרון את השירות באירוח Microsoft Exchange של החברה – כך חשפה ענקית מחשוב הענן האמריקנית בסוף השבוע האחרון.

רקספייס אישרה שקבוצת הכופרה הצליחה להשיג גישה לנתוני אחסון טבלאיים (PST) ובהם פרטים אישיים השייכים ל-27 מהלקוחות שלה. למרות זאת, בחברה התעקשו כי, נכון לעכשיו, "אין ראיות המצביעות על כך שגורמי איום צפו, השיגו, השתמשו לרעה, או הפיצו מיילים או נתונים השייכים ללקוחותינו. אין מוצר, פלטפורמה, פתרונות או עסקים אחרים שלנו שניזוקו או חוו השבתה עקב תקרית זו". ברקספייס הוסיפו כי "יותר ממחצית מהלקוחות שהושפעו מהאירוע כבר הצליחו לקבל בחזרה גישה לחלק או לכלל הנתונים שלהם. לרבים מלקוחותינו יש נתונים המגובים באופן מקומי, מאוחסנים בארכיון או בדרך אחרת".

בהודעת רקספייס נמסר כי "נמשיך לעבוד על שחזור כל הנתונים האפשריים כמתוכנן, אולם במקביל, אנחנו מפתחים פתרון עבור אותם לקוחות שעדיין רוצים להוריד את הנתונים שלהם. אנחנו צופים שפתרון זה יהיה זמין בתוך שבועיים". החברה הודיעה ששירות Exchange המאוחסן לא יחזור לפעול בעקבות התקרית.

לקוחות החברה קיבלו ממנה הודעה על המתקפה ב-2 בדצמבר. האירוע גרם לכך שלקוחות שנפגעו לא היו מסוגלים לגשת לשירותי מייל ולשחזר אנשי קשר או התכתבויות קודמות. השערות ראשוניות העלו כי המתקפה הייתה תוצאה של ניצול חולשת ProxyNotShell. מאוחר יותר רקספייס מסרה שההערכה לא הייתה מדויקת. חקירה של קראוד סטרייק העלתה כי כחלק מהמתקפה, ההאקרים ניצלו חולשת יום אפס שקשורה לחולשה CVE-2022-41080, שמכונה OWASSRF. זו אפשרה לשחקני האיום להשיג שליטה מרחוק (RCE) על מחשבי הקורבנות.

ה-"שחקנים" מתמקדים באמריקה הלטינית

כנופיית Play, שידועה גם בשם PlayCrypt, התגלתה ביוני אשתקד, ומאז היא פגעה בעשרות קורבנות בעולם, ואולי אף יותר, ביניהם גורמים במערכת המשפט של העיר קורדובה בארגנטינה. מתקפה זו, שאירעה באוגוסט האחרון, הביאה לכך שמערכת המשפט העירונית נאלצה לסגור את מערכות ה-IT שלה, ועובדי בית המשפט נאלצו להשתמש בעט ובנייר להגשת מסמכים רשמיים. דיווח ממועד המתקפה העלה כי היא "הייתה הגרועה ביותר אי פעם שנערכה נגד מוסדות ציבוריים בארגנטינה". גם רשת המלונות הגרמנית H-Hotels נפלה קורבן לחברי הקבוצה.

המתקפות של אנשי Play מתמקדות בארגונים באזור אמריקה הלטינית, כאשר ארגונים בברזיל הם המטרה העיקרית שלהם. עוד נצפו מתקפות של חברי כנופיית הכופרה על ארגונים בהודו, הונגריה, ספרד והולנד. לפני ימים אחדים הודיעה הקבוצה שהיא אחראית למתקפה על המוסד הפולי-טכני של מדינת ניו יורק (SUNY). במתקפה זו נחשפו, בין השאר, פרטי חוזים עסקיים מסווגים וכן פרטים אישיים של סטודנטים רבים.