El grupo de ransomware 0mega ha llevado a cabo con éxito un ataque de extorsión contra el entorno de SharePoint Online de una empresa sin necesidad de utilizar un punto final comprometido, que es como suelen desarrollarse estos ataques. En cambio, el grupo de amenazas parece haber utilizado una cuenta de administrador poco segura para infiltrarse en el entorno de la empresa sin nombre, elevar los permisos y, finalmente, filtrar datos confidenciales de las bibliotecas de SharePoint de la víctima. Los datos se utilizaron para extorsionar a la víctima para que pagara un rescate.
Probablemente el primer ataque de este tipo
El ataque merece atención porque la mayoría de los esfuerzos empresariales para abordar la amenaza del ransomware tienden a centrarse en los mecanismos de protección de puntos finales, dice Glenn Chisholm, cofundador y CPO de Obsidian, la firma de seguridad que descubrió el ataque.
“Las empresas han estado tratando de prevenir o mitigar los ataques de grupos de ransomware por completo a través de inversiones en seguridad de puntos finales”, dice Chisholm. “Este ataque muestra que la seguridad de los puntos finales no es suficiente, ya que muchas empresas ahora almacenan y acceden a datos en aplicaciones SaaS”.
El ataque que observó Obsidian comenzó cuando un actor del grupo 0mega obtuvo una credencial de cuenta de servicio mal protegida que pertenecía a uno de los administradores globales de Microsoft de la organización víctima. La cuenta violada no solo era accesible desde la Internet pública, sino que tampoco tenía habilitada la autenticación multifactor (MFA), algo que la mayoría de los expertos en seguridad coinciden en que es una necesidad básica de seguridad, especialmente para las cuentas privilegiadas.
El actor de amenazas usó la cuenta comprometida para crear un usuario de Active Directory, algo descaradamente, llamado "0mega" y luego procedió a otorgar a la nueva cuenta todos los permisos necesarios para crear estragos en el entorno. Estos incluían permisos para ser administrador global, administrador de SharePoint, administrador de Exchange y administrador de equipos. Como medida adicional, el actor de amenazas usó la credencial de administrador comprometida para otorgar a la cuenta 0mega las denominadas capacidades de administrador de colección de sitios dentro del entorno de SharePoint Online de la organización y para eliminar a todos los demás administradores existentes.
En la jerga de SharePoint, un colección de sitios es un grupo de sitios web dentro de una aplicación web que comparten configuraciones administrativas y tienen el mismo propietario. Colecciones de sitios tienden a ser más comunes en organizaciones grandes con múltiples funciones y departamentos comerciales, o entre organizaciones con conjuntos de datos muy grandes.
En el ataque que analizó Obsidian, los actores de amenazas de 0mega utilizaron la credencial de administrador comprometida para eliminar unas 200 cuentas de administrador en un período de dos horas.
Armado con los privilegios autoasignados, el actor de amenazas se ayudó a sí mismo de cientos de archivos de las bibliotecas de SharePoint Online de la organización y los envió a un host de servidor privado virtual (VPS) asociado con una empresa de alojamiento web en Rusia. Para facilitar la exfiltración, el actor de amenazas usó un módulo Node.js disponible públicamente llamado "spull" que, entre otras cosas, permite a los desarrolladores interactuar con los recursos de SharePoint mediante solicitudes HTTP. Como sus mantenedores describen el módulo, spull es un "cliente simple para extraer y descargar archivos de SharePoint".
Una vez que se completó la exfiltración, los atacantes usaron otro módulo node.js llamado "tiene” para cargar miles de archivos de texto en el entorno de SharePoint de la víctima que básicamente informaban a la organización de lo que acababa de suceder.
Sin compromiso de punto final
Por lo general, en los ataques dirigidos a aplicaciones SaaS, los grupos de ransomware comprometen un punto final y luego cifran o extraen archivos, aprovechando el movimiento lateral según sea necesario, dice Chisholm. “En este caso, los atacantes usaron credenciales comprometidas para iniciar sesión en SharePoint Online, otorgaron privilegios administrativos a una cuenta recién creada y luego automatizaron la exfiltración de datos de esa nueva cuenta usando scripts en un host alquilado provisto por VDSinra.ru”. El actor de amenazas ejecutó todo el ataque sin comprometer un punto final ni usar un ejecutable de ransomware. "Hasta donde sabemos, esta es la primera instancia registrada públicamente de extorsión automatizada de ransomware SaaS", dice.
Chisholm dice que Obsidian ha observado más ataques dirigidos a entornos SaaS empresariales en los últimos seis meses que en los dos años anteriores combinados. Gran parte del creciente interés de los atacantes se debe al hecho de que las organizaciones colocan cada vez más información regulada, confidencial y confidencial en aplicaciones SaaS sin implementar el mismo tipo de controles que en las tecnologías de punto final, dice. “Esta es solo la última técnica de amenaza que estamos viendo de los malos actores”, dice. “Las organizaciones deben estar preparadas y asegurarse de contar con las herramientas de gestión de riesgos proactivas adecuadas en todo su entorno SaaS”.
Otros han informado haber observado una tendencia similar. Según AppOmni, ha habido un Aumento del 300 % en ataques SaaS solo desde el 1 de marzo de 2023 en los sitios de la comunidad de Salesforce y otras aplicaciones SaaS. Los principales vectores de ataque han incluido permisos excesivos de usuarios invitados, permisos excesivos de objetos y campos, falta de MFA y acceso con privilegios excesivos a datos confidenciales. Un estudio que realizó Odaseva el año pasado mostró que el 48% de los encuestados dijeron que su organización había experimentado un ataque de ransomware en los 12 meses anteriores y Los datos de SaaS eran el objetivo en más de la mitad (51%) de los ataques.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- EVM Finanzas. Interfaz unificada para finanzas descentralizadas. Accede Aquí.
- Grupo de medios cuánticos. IR/PR amplificado. Accede Aquí.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :posee
- :es
- :no
- 1
- 12
- 12 meses
- 200
- 2023
- 7
- a
- de la máquina
- accesible
- el acceso
- Conforme
- Mi Cuenta
- Cuentas
- a través de
- lector activo
- los actores
- Adicionales
- dirección
- Admin
- administrativo
- administradores
- en contra
- Todos
- permite
- también
- entre
- an
- analizo
- y
- Otra
- aparece
- Aplicación
- aplicaciones
- somos
- AS
- asociado
- At
- atacar
- ataques
- Autenticación
- Confirmación de Viaje
- Hoy Disponibles
- Malo
- básica
- Básicamente
- BE
- porque
- esto
- comenzó
- MEJOR
- funciones de negocios
- by
- , que son
- capacidades
- case
- cliente
- cofundador
- --
- colecciones
- combinado
- vibrante e inclusiva
- Empresas
- compañía
- completar
- compromiso
- Comprometida
- comprometer
- llevado a cabo
- controles
- Para crear
- creado
- CREDENCIAL
- Referencias
- datos
- conjuntos de datos
- departamentos
- describir
- desarrolladores
- HIZO
- descargar
- esfuerzos
- ELEVATE
- facilita
- Punto final
- seguridad de punto final
- suficientes
- garantizar
- Empresa
- Todo
- enteramente
- Entorno
- ambientes
- especialmente
- finalmente
- Intercambio
- ejecutado
- exfiltración
- existente
- experimentado
- expertos
- extorsión
- facilitar
- hecho
- campo
- archivos
- Firme
- Nombre
- Focus
- Desde
- funciones
- Buscar
- candidato
- conceder
- concedido
- Grupo procesos
- Grupo
- Creciendo
- Invitad@s
- tenido
- A Mitad
- pasó
- Tienen
- he
- ayudado
- fortaleza
- hosting
- Cómo
- http
- HTTPS
- Cientos
- implementación
- in
- incluido
- cada vez más
- información
- informó
- ejemplo
- interactuar
- intereses
- Internet
- dentro
- Inversiones
- ISN
- IT
- SUS
- jpg
- solo
- Tipo
- especialistas
- Falta
- large
- Apellido
- El año pasado
- más reciente
- aprovechando
- bibliotecas
- log
- Management
- Herramientas de Manejo
- muchos
- Marzo
- Marzo 1
- medir
- los mecanismos de
- MFA
- Microsoft
- Mitigar las
- Módulo
- meses
- más,
- MEJOR DE TU
- movimiento
- mucho más
- múltiples
- necesario
- ¿ Necesita ayuda
- necesidad
- Nuevo
- recién
- nodo
- Node.js
- ahora
- objeto
- obtención
- ocurriendo
- of
- off
- on
- ONE
- en línea
- , solamente
- or
- organización
- para las fiestas.
- Otro
- nuestros
- Más de
- propietario
- Pagar
- período
- permisos
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- preparado
- evitar
- anterior
- primario
- privada
- privilegiado
- privilegios
- Proactiva
- Protección
- previsto
- público
- en público
- Poniendo
- Rescate
- ransomware
- Ataque de ransomware
- RE
- grabado
- regulados
- remove
- reporte
- reportado
- solicitudes
- investigadores
- Recursos
- encuestados
- Derecho
- Riesgo
- Gestión sistemática del riesgo,
- RU
- Rusia
- s
- SaaS
- fuerza de ventas
- mismo
- decir
- dice
- guiones
- asegurado
- EN LINEA
- ver
- sensible
- expedido
- de coches
- Sets
- ajustes
- Compartir
- Shows
- similares
- sencillos
- desde
- página web
- Sitios Web
- SEIS
- Seis meses
- algo
- algo
- algo
- deriva
- almacenamiento
- ESTUDIO
- Con éxito
- orientación
- equipos
- Tecnologías
- que
- esa
- El proyecto
- su
- Les
- sí mismos
- luego
- Ahí.
- Estas
- ellos
- cosas
- así
- miles
- amenaza
- actores de amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- Tendencia
- dos
- SIN NOMBRE
- utilizan el
- usado
- Usuario
- usando
- generalmente
- muy
- Víctima
- Virtual
- fue
- we
- web
- Aplicación web
- ¿
- que
- todo
- dentro de
- sin
- año
- años
- zephyrnet