Rackspace, 랜섬웨어 공격으로 Hosted Exchange 이메일 서비스 중단

2022년 12월 2일, 텍사스 기반의 유명 클라우드 컴퓨팅 업체 랙스페이스 테크놀로지(Rackspace Technology)가 랜섬웨어에 감염되었습니다. Rackspace는 12월 2일 사고를 인지했지만, 보안 사고임을 발표하기까지 4일이 걸렸습니다. 이번 랜섬웨어 공격으로 Hosted Exchange 서비스가 중단되었고, 수 천개의 중소기업들이 이메일을 보낼 수 없었습니다.

 

이 사고는 클라우드 서비스 제공업체에서 발생한 가장 큰 랜섬웨어 사고이며, Rackspace의 주가는 21% 떨어졌습니다.

투자 회사(Dallas Capital Bank)에서 폐기물 관리 시설(Cardoza Waste Parts Nation)에 이르는 Rackspace 고객들은 랜섬웨어 사고로 이메일을 사용할 수 없다고 LinkedIn에 공유했습니다.

 

Rackspace 대변인 Natalie Silva는 얼마나 많은 고객이 영향을 받았는지에 대해 언급을 거부하고 외신들의 취재 요청을 거절했습니다. 다만 12월 6일, Rackspace가 증권거래위원회(SEC)에 제출한 보고서에 따르면 Hosted Exchange 사업이 3천만 달러 정도의 손해를 입을 것으로 예측하고 있음을 알 수 있습니다.

 

12월 7일, 캘리포니아 로펌인 Cole & Van Note는 고객을 대신해 "과실 및 관련 법 위반"으로 Rackspace를 집단 소송했습니다.

 

[그림 1] 랜섬웨어로 인한 Rackspace Hosted Exchange 서비스 중단(2022년 12월 6일)

 

□ 공개되지 않은 랜섬웨어 사고 원인

Rackspace는 아직까지 공격자가 어떻게 랜섬웨어 공격에 성공했는지 정확한 정보를 제공하지 않고 있습니다. 한편, 보안 연구원 Kevin Beaumont는 블로그를 통해 Rackspace 랜섬웨어 사고가 ProxyNotShell로 알려진 Microsoft Exchange 취약점(CVE-2022-41040, CVE-2022-41082)과 관련 있을 수 있다고 주장했습니다.

 

Kevin Beaumont은 Rackspace에서 사용하는 Exchange 및 OWA의 Host Name (mex*.emailsrvr.com)을 확인했고, Shodan에 검색했을 때 Exchange 빌드 번호가 ProxyNotShell(Microsoft Exchange 취약점) 패치 제공 전인 22년 8월임을 확인했습니다.

[그림 2] Rackspace에서 사용하는 Exchange 및 OWA의 Host Name(mex*.emailsrvr.com)

 

[그림 3] Exchange 빌드 번호가 ProxyNotShell 패치 제공 전인 22년 8월임을 확인

 

ProxyNotShell은 사이버 보안 회사 GTSC가 악용되는 것을 발견한 후, 9월 말에 처음으로 알려졌습니다. Microsoft는 다음 달에 악용을 확인하고, Microsoft 보안 블로그에서 ProxyNotShell 공격을 국가 지원 해커 그룹과 연결했습니다.

 

□ Rackspace TimeLine

2022년 12월 2일 02:49 AM EST: Hosted Exchange 서비스 문제 인지

2022년 12월 2일 03:02 AM EST : Rackspace에 호스팅된 Microsoft Exchange 서비스에서 지속적인 에러 발생. Outlook Web App(웹 메일)에 로그인하고 전자 메일 클라이언트를 동기화할 때 사용자에게 오류가 발생.

2022년 12월 2일 04:32 AM EST: Hosted Exchange 서비스 문제 조사 중

2022년 12월 2일 04:39 AM EST: Hosted Exchange 서비스 문제 조사 중

2022년 12월 2일 08:19 PM EST: 피해 고객에게 Microsoft Exchange Plan 1 라이선스를 제공

2022년 12월 3일 02:31 PM EST: Microsoft 365 이메일 서비스 복원

2022년 12월 4일 12:37 AM EST: Hosted Exchange의 장기간 중단으로 Microsoft 365로 마이그레이션하는 임시 조치 방안 권고 

2022년 12월 4일 02:05 PM EST: Hosted Exchange 사용자를 대상으로 하는 메일을 외부 전자 메일 주소로 라우팅할 수 있는 임시 조치 방안 발표

2022년 12월 5일 01:28 AM EST:  Microsoft 365 마이그레이션이 가장 좋은 솔루션이며 추가 정보 제공. Rackspace는 고객을 돕기 위해 1,000명의 지원 직원을 동원했다고 발표.

2022년 12월 6일 08:26 AM EST: Hosted Exchange 에러가 랜섬웨어 감염으로 발생했다고 발표

2022년 12월 7일 12:50 PM EST: 랜섬웨어 공격으로 확인되며, 내부 보안 팀과 사이버 보안 회사와 협력하고 랜섬웨어 사고 조사 중, 피해는 Hosted Exchange 서비스로만 국한되며 다른 제품이나 서비스는 영향을 미치지 않은 것으로 확인됨. Rackspace는 Microsoft 365 마이그레이션을 권고함. Rackspace Hosted Exchange 서비스는 아직 오프라인 상태.

2022년 12월 7일 09:11 PM EST:  Microsoft의 Fast Track 팀과 협력하여 문제 해결 및 기술지원을 확대하고 있다고 발표

2022년 12월 8일 01:59 PM EST: Rackspace 이슈를 악용해  Rackspace를 사칭하는 이가 발생할 수 있다고 말함.

2022년 12월 9일 06:27 PM EST: 현재 Hosted Exchange 환경의 고객 중 2/3 이상이 다시 이메일을 사용하고 있으며 서비스를 복구 중이라고 발표. 사이버 보안 회사 CrowdStrike와 협력하여 사고 조사를 진행하고 있다고 발표. Microsoft 365 전환 과정을 설명하는 비디오 공개.

2022년 12월 10일 07:30 PM EST: 어제부터 Hosted Exchange 환경의 고객 2/3이 다시 이메일을 사용하고 있으며  Microsoft 365 전환을 위한 채팅, 전화 채널의 대기 시간은 현재 평균 30분 미만이라고 알림.

2022년 12월 11일 05:13 PM EST: Rackspace는 서비스 복구에 상당한 진전이 있으며 공유할 정보가 더 많아지면 추가 업데이트를 제공할 것이라고 밝힘.

2022년 12월 12일 07:13 PM EST: 서비스 복구 진행 중이며, Barracuda 아카이빙 서비스를 구매한 고객은 서비스에 영향이 없으면, Hosted Exchange 고객이 Microsoft Outlook과 같은 데스크톱 응용 프로그램을 사용하고 있는 경우 해당 고객 데이터의 로컬 복사본을 데스크톱 컴퓨터에서 사용할 수 있다고 안내.

2022년 12월 14일: 08:44 AM EST: CrowdStrike와 랜섬웨어 조사를 진행하고 있으며, 공격은 Hosted Exchange 환경으로 제한되었음. 2022년 12월 2일 랜섬웨어 공격 이후 Hosted Exchange 환경에서 공격자 활동의 징후가 없음을 확인함. 또한 FBI가 조사를 지원하고 있다고 밝힘. 현재 고객의 2/3 이상이 Microsoft 365 환경으로 전환한 상태.

 

□ Rackspace 대응 상황

- 초기 대응으로 Hosted Exchange 환경 격리

- Rackspace Technology 내부 보안 팀과 사이버 보안 회사 CrowdStrike와 함께 사고 조사

- 이메일 서비스 복원 작업 중

- 피해 고객에게 Microsoft Exchange Plan 1 라이선스 제공

- 추가 보안 조치 적용 · 의심스러운 활동 모니터링

- 사고 조사와 관련된 내용을 웹사이트에 게시 및 업데이트

- 민감한 정보가 영향을 받았다고 판단되면 고객에게 알릴 예정

 

Rackspace는 고객이 Microsoft 365 계정을 설정하고 구성하는 데 도움을 주겠다고 약속했지만, 서비스 중단 이후 많은 고객이 Rackspace의 커뮤니케이션 부족과 응답하지 않은 지원 티켓에 대해 twitter에 공유했습니다.

 

□ 참고 자료

[1] System Status

https://status.apps.rackspace.com/ 

[2] Rackspace - Hosted Exchange Issues

https://status.apps.rackspace.com/index/viewincidents?group=2 

[3] Rackspace Technology Hosted Exchange Environment Update

https://ir.rackspace.com/news-releases/news-release-details/rackspace-technology-hosted-exchange-environment-update 

[4] Kevin Beaumont - Rackspace Cloud Office suffers destructive security breach

https://doublepulsar.com/rackspace-cloud-office-suffers-security-breach-958e6c755d7f

 

보안관제센터 MIR Team