Η ομάδα ransomware 0mega πραγματοποίησε επιτυχώς μια επίθεση εκβιασμού κατά του περιβάλλοντος SharePoint Online μιας εταιρείας χωρίς να χρειάζεται να χρησιμοποιήσει ένα παραβιασμένο τελικό σημείο, όπως συνήθως εκτυλίσσονται αυτές οι επιθέσεις. Αντίθετα, η ομάδα απειλών φαίνεται να έχει χρησιμοποιήσει έναν αδύναμα ασφαλή λογαριασμό διαχειριστή για να διεισδύσει στο περιβάλλον της εταιρείας που δεν κατονομάζεται, να αυξήσει τα δικαιώματα και τελικά να εκμεταλλευτεί ευαίσθητα δεδομένα από τις βιβλιοθήκες SharePoint του θύματος. Τα δεδομένα χρησιμοποιήθηκαν για να εκβιάσουν το θύμα να πληρώσει λύτρα.
Πιθανή πρώτη του είδους επίθεση
Η επίθεση αξίζει προσοχή, επειδή οι περισσότερες προσπάθειες της επιχείρησης για την αντιμετώπιση της απειλής ransomware τείνουν να επικεντρώνονται σε μηχανισμούς προστασίας τελικού σημείου, λέει ο Glenn Chisholm, συνιδρυτής και CPO στην Obsidian, την εταιρεία ασφαλείας που ανακάλυψε την επίθεση.
«Οι εταιρείες προσπαθούν να αποτρέψουν ή να μετριάσουν τις επιθέσεις ομάδων ransomware εξ ολοκλήρου μέσω επενδύσεων ασφάλειας τελικού σημείου», λέει ο Chisholm. «Αυτή η επίθεση δείχνει ότι η ασφάλεια τελικού σημείου δεν είναι αρκετή, καθώς πολλές εταιρείες αποθηκεύουν και έχουν πρόσβαση σε δεδομένα σε εφαρμογές SaaS».
Η επίθεση που παρατήρησε η Obsidian ξεκίνησε με έναν ηθοποιό της ομάδας 0mega που έλαβε ένα κακώς ασφαλές διαπιστευτήριο λογαριασμού υπηρεσίας που ανήκε σε έναν από τους διαχειριστές Microsoft Global του οργανισμού-θύματος. Ο παραβιασμένος λογαριασμός όχι μόνο ήταν προσβάσιμος από το δημόσιο Διαδίκτυο, αλλά δεν είχε επίσης ενεργοποιημένο έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) — κάτι που οι περισσότεροι ειδικοί σε θέματα ασφάλειας συμφωνούν ότι είναι βασική αναγκαιότητα ασφαλείας, ειδικά για προνομιακούς λογαριασμούς.
Ο παράγοντας απειλών χρησιμοποίησε τον παραβιασμένο λογαριασμό για να δημιουργήσει έναν χρήστη της Active Directory —κάπως αυθάδεια— που ονομάζεται "0mega" και στη συνέχεια προχώρησε στην παραχώρηση στον νέο λογαριασμό όλων των απαραίτητων αδειών για τη δημιουργία καταστροφής στο περιβάλλον. Αυτά περιλάμβαναν δικαιώματα για να είστε Παγκόσμιος Διαχειριστής, Διαχειριστής SharePoint, Διαχειριστής Exchange και Διαχειριστής ομάδων. Για πρόσθετο καλό μέτρο, ο παράγοντας απειλών χρησιμοποίησε το παραβιασμένο διαπιστευτήριο διαχειριστή για να εκχωρήσει στον λογαριασμό 0mega τις λεγόμενες δυνατότητες διαχειριστή συλλογής τοποθεσιών εντός του περιβάλλοντος SharePoint Online του οργανισμού και να αφαιρέσει όλους τους άλλους υπάρχοντες διαχειριστές.
Στο SharePoint-speak, α Η συλλογή τοποθεσιών είναι μια ομάδα ιστότοπων σε μια εφαρμογή Ιστού που μοιράζονται ρυθμίσεις διαχειριστή και έχουν τον ίδιο κάτοχο. Συλλογές τοποθεσιών τείνουν να είναι πιο συχνές σε μεγάλους οργανισμούς με πολλαπλές επιχειρηματικές λειτουργίες και τμήματα ή σε οργανισμούς με πολύ μεγάλα σύνολα δεδομένων.
Στην επίθεση που ανέλυσε η Obsidian, οι φορείς απειλών 0mega χρησιμοποίησαν τα διαπιστευτήρια διαχείρισης που είχαν παραβιαστεί για να αφαιρέσουν περίπου 200 λογαριασμούς διαχειριστή μέσα σε διάστημα δύο ωρών.
Οπλισμένος με τα προνόμια που εκχωρήθηκαν από τον εαυτό του, ο παράγοντας απειλών στη συνέχεια βοήθησε τον εαυτό του σε εκατοντάδες αρχεία από τις βιβλιοθήκες SharePoint Online του οργανισμού και τα έστειλε σε έναν εικονικό ιδιωτικό διακομιστή (VPS) που σχετίζεται με μια εταιρεία φιλοξενίας Ιστού στη Ρωσία. Για να διευκολυνθεί η διείσδυση, ο παράγοντας απειλής χρησιμοποίησε μια δημόσια διαθέσιμη λειτουργική μονάδα Node.js που ονομάζεται "sppull" που, μεταξύ άλλων, επιτρέπει στους προγραμματιστές να αλληλεπιδρούν με πόρους του SharePoint χρησιμοποιώντας αιτήματα HTTP. Όπως περιγράφουν οι συντηρητές του τη λειτουργική μονάδα, το sppull είναι ένας «απλός πελάτης για να τραβήξετε και να κατεβάσετε αρχεία από το SharePoint».
Μόλις ολοκληρώθηκε η εκχύλιση, οι εισβολείς χρησιμοποίησαν μια άλλη λειτουργική μονάδα node.js που ονομάζεται "πήρε” για να ανεβάσετε χιλιάδες αρχεία κειμένου στο περιβάλλον SharePoint του θύματος που βασικά ενημέρωσαν τον οργανισμό για το τι είχε μόλις συμβεί.
Χωρίς συμβιβασμό στο τελικό σημείο
Συνήθως, σε επιθέσεις που στοχεύουν εφαρμογές SaaS, οι ομάδες ransomware θέτουν σε κίνδυνο ένα τελικό σημείο και στη συνέχεια κρυπτογραφούν ή διεγείρουν αρχεία, αξιοποιώντας την πλευρική κίνηση όπως απαιτείται, λέει ο Chisholm. "Σε αυτήν την περίπτωση, οι εισβολείς χρησιμοποίησαν διαπιστευτήρια σε κίνδυνο για να συνδεθούν στο SharePoint Online που παραχώρησε δικαιώματα διαχειριστή σε έναν νέο λογαριασμό και στη συνέχεια αυτοματοποιήθηκε η εξαγωγή δεδομένων από αυτόν τον νέο λογαριασμό χρησιμοποιώντας σενάρια σε έναν μισθωμένο κεντρικό υπολογιστή που παρέχεται από το VDSinra.ru." Ο παράγοντας απειλής εκτέλεσε ολόκληρη την επίθεση χωρίς να διακυβεύσει ένα τελικό σημείο ή να χρησιμοποιήσει ένα εκτελέσιμο λογισμικό ransomware. «Από όσο γνωρίζουμε, αυτή είναι η πρώτη δημόσια καταγεγραμμένη περίπτωση αυτοματοποιημένης εκβίασης ransomware SaaS», λέει.
Ο Chisholm λέει ότι η Obsidian έχει παρατηρήσει περισσότερες επιθέσεις που στόχευαν εταιρικά περιβάλλοντα SaaS τους τελευταίους έξι μήνες από ό,τι τα δύο προηγούμενα χρόνια μαζί. Μεγάλο μέρος του αυξανόμενου ενδιαφέροντος των επιτιθέμενων πηγάζει από το γεγονός ότι οι οργανισμοί τοποθετούν ολοένα και περισσότερο ρυθμιζόμενες, εμπιστευτικές και άλλες ευαίσθητες πληροφορίες σε εφαρμογές SaaS χωρίς να εφαρμόζουν τον ίδιο τύπο ελέγχων με αυτούς στις τεχνολογίες τελικού σημείου, λέει. «Αυτή είναι απλώς η πιο πρόσφατη τεχνική απειλής που βλέπουμε από κακούς ηθοποιούς», λέει. «Οι οργανισμοί πρέπει να είναι προετοιμασμένοι και να διασφαλίζουν ότι διαθέτουν τα σωστά προληπτικά εργαλεία διαχείρισης κινδύνου σε ολόκληρο το περιβάλλον SaaS τους».
Άλλοι έχουν αναφέρει ότι παρατηρούν παρόμοια τάση. Σύμφωνα με την AppOmni υπήρξε ένα 300% αύξηση στις επιθέσεις SaaS μόλις από την 1η Μαρτίου 2023 στους ιστότοπους της κοινότητας Salesforce και σε άλλες εφαρμογές SaaS. Οι κύριοι φορείς επίθεσης περιλαμβάνουν υπερβολικά δικαιώματα επισκέπτη χρήστη, υπερβολικά δικαιώματα αντικειμένων και πεδίων, έλλειψη MFA και υπερπρονομιακή πρόσβαση σε ευαίσθητα δεδομένα. Σε μια μελέτη που διεξήγαγε ο Odaseva πέρυσι, το 48% των ερωτηθέντων δήλωσε ότι ο οργανισμός τους είχε υποστεί επίθεση ransomware τους προηγούμενους 12 μήνες και Τα δεδομένα SaaS ήταν ο στόχος σε περισσότερες από τις μισές (51%) των επιθέσεων.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- EVM Finance. Ενιαία διεπαφή για αποκεντρωμένη χρηματοδότηση. Πρόσβαση εδώ.
- Quantum Media Group. Ενισχυμένο IR/PR. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :έχει
- :είναι
- :δεν
- 1
- 12
- 12 μήνες
- 200
- 2023
- 7
- a
- πρόσβαση
- προσιτός
- πρόσβαση
- Σύμφωνα με
- Λογαριασμός
- Λογαριασμοί
- απέναντι
- ενεργός
- φορείς
- Πρόσθετος
- διεύθυνση
- διαχειριστής
- διοικητικός
- διαχειριστές
- κατά
- Όλα
- επιτρέπει
- Επίσης
- μεταξύ των
- an
- αναλύθηκε
- και
- Άλλος
- εμφανίζεται
- Εφαρμογή
- εφαρμογές
- ΕΙΝΑΙ
- AS
- συσχετισμένη
- At
- επίθεση
- Επιθέσεις
- προσοχή
- Πιστοποίηση
- Αυτοματοποιημένη
- διαθέσιμος
- Κακός
- βασικός
- Βασικα
- BE
- επειδή
- ήταν
- ξεκίνησε
- ΚΑΛΎΤΕΡΟΣ
- επιχείρηση
- επιχειρηματικές λειτουργίες
- by
- που ονομάζεται
- δυνατότητες
- περίπτωση
- πελάτης
- συνιδρυτής
- συλλογή
- συλλογές
- σε συνδυασμό
- κοινότητα
- Εταιρείες
- εταίρα
- πλήρης
- συμβιβασμός
- Συμβιβασμένος
- συμβιβασμός
- διενεργούνται
- ελέγχους
- δημιουργία
- δημιουργήθηκε
- ΠΙΣΤΟΠΟΙΗΤΙΚΟ
- Διαπιστεύσεις
- ημερομηνία
- σύνολα δεδομένων
- τμήματα
- περιγράφουν
- προγραμματιστές
- DID
- κατεβάσετε
- προσπάθειες
- ELEVATE
- ενεργοποιημένη
- Τελικό σημείο
- Ασφάλεια τελικού σημείου
- αρκετά
- εξασφαλίζω
- Εταιρεία
- Ολόκληρος
- εξ ολοκλήρου
- Περιβάλλον
- περιβάλλοντα
- ειδικά
- τελικά
- ανταλλαγή
- εκτελέστηκε
- διήθηση
- υφιστάμενα
- έμπειρος
- εμπειρογνώμονες
- εκβιασμός
- διευκολύνω
- γεγονός
- πεδίο
- Αρχεία
- Εταιρεία
- Όνομα
- Συγκέντρωση
- Για
- από
- λειτουργίες
- Παγκόσμιο
- καλός
- χορηγεί
- χορηγείται
- Group
- Ομάδα
- Μεγαλώνοντας
- Επισκέπτης
- είχε
- Ήμισυ
- συνέβη
- Έχω
- he
- βοήθησε
- οικοδεσπότης
- φιλοξενία
- Πως
- http
- HTTPS
- Εκατοντάδες
- εκτελεστικών
- in
- περιλαμβάνονται
- όλο και περισσότερο
- πληροφορίες
- ενημερώνεται
- παράδειγμα
- αντί
- αλληλεπιδρούν
- τόκος
- Internet
- σε
- Επενδύσεις
- isn
- IT
- ΤΟΥ
- jpg
- μόλις
- Είδος
- γνώση
- Έλλειψη
- large
- Επίθετο
- Πέρυσι
- αργότερο
- μόχλευσης
- βιβλιοθήκες
- κούτσουρο
- διαχείριση
- Εργαλεία διαχείρισης
- πολοί
- Μάρτιος
- Μάρτιος 1
- μέτρο
- μηχανισμούς
- ΣΠΙ
- Microsoft
- Μετριάζω
- Μονάδα μέτρησης
- μήνες
- περισσότερο
- πλέον
- κίνηση
- πολύ
- πολλαπλούς
- απαραίτητος
- Ανάγκη
- που απαιτούνται
- χρειάζονται
- Νέα
- πρόσφατα
- κόμβος
- Node.js
- τώρα
- αντικείμενο
- την απόκτηση
- που συμβαίνουν
- of
- off
- on
- ONE
- διαδικτυακά (online)
- αποκλειστικά
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- δικός μας
- επί
- ιδιοκτήτης
- Πληρωμή
- περίοδος
- δικαιώματα
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- έτοιμος
- πρόληψη
- προηγούμενος
- πρωταρχικός
- ιδιωτικός
- προνομιούχος
- προνόμια
- Προληπτική
- προστασία
- παρέχεται
- δημόσιο
- δημοσίως
- Βάζοντας
- Λύτρα
- ransomware
- Επίθεση Ransomware
- RE
- καταγράφονται
- ρυθμίζονται
- αφαιρέστε
- αναφέρουν
- αναφέρθηκαν
- αιτήματα
- ερευνητές
- Υποστηρικτικό υλικό
- ερωτηθέντες
- δεξιά
- Κίνδυνος
- διαχείριση των κινδύνων
- RU
- Russia
- s
- SaaS
- salesforce
- ίδιο
- ρητό
- λέει
- Εφαρμογές
- Ασφαλής
- ασφάλεια
- βλέποντας
- ευαίσθητος
- αποστέλλονται
- υπηρεσία
- Σέτς
- ρυθμίσεις
- Κοινοποίηση
- Δείχνει
- παρόμοιες
- Απλούς
- αφού
- ιστοσελίδα
- Sites
- ΕΞΙ
- Έξι μήνες
- μερικοί
- κάτι
- κάπως
- στελέχη
- εναποθήκευση
- Μελέτη
- Επιτυχώς
- στόχευση
- ομάδες
- Τεχνολογίες
- από
- ότι
- Η
- τους
- Τους
- τους
- τότε
- Εκεί.
- Αυτοί
- αυτοί
- πράγματα
- αυτό
- χιλιάδες
- απειλή
- απειλή
- Μέσω
- προς την
- εργαλεία
- τάση
- δύο
- ΑΝΩΝΥΜΟΣ
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- συνήθως
- πολύ
- Θύμα
- Πραγματικός
- ήταν
- we
- ιστός
- Εφαρμογή Web
- Τι
- Ποιό
- ολόκληρο
- με
- εντός
- χωρίς
- έτος
- χρόνια
- zephyrnet