0mega lunavaragrupp on edukalt korraldanud väljapressimisrünnaku ettevõtte SharePoint Online'i keskkonna vastu, ilma et oleks vaja kasutada ohustatud lõpp-punkti. Nii need rünnakud tavaliselt arenevad. Selle asemel näib ohurühm olevat kasutanud nõrgalt turvatud administraatorikontot, et tungida nimetu ettevõtte keskkonda, tõsta õigusi ja lõpuks välja filtreerida tundlikke andmeid ohvri SharePointi teegidest. Andmeid kasutati ohvrilt lunaraha maksmiseks väljapressimiseks.
Tõenäoliselt esimene omataoline rünnak
Rünnak väärib tähelepanu, sest enamik ettevõtete jõupingutusi lunavaraohu vastu võitlemisel keskendub tavaliselt lõpp-punktide kaitsemehhanismidele, ütleb Glenn Chisholm, turvafirma Obsidian kaasasutaja ja CPO. avastas rünnaku.
"Ettevõtted on püüdnud lunavararühma rünnakuid ennetada või leevendada täielikult lõpp-punkti turvainvesteeringute kaudu," ütleb Chisholm. "See rünnak näitab, et lõpp-punkti turvalisusest ei piisa, kuna paljud ettevõtted salvestavad nüüd SaaS-i rakendustes andmeid ja pääsevad neile juurde."
Obsidiani täheldatud rünnak algas sellega, et 0mega grupi näitleja sai halvasti turvatud teenusekonto mandaadi, mis kuulus ühele ohvriorganisatsiooni Microsoft Globali administraatorile. Peale selle, et rikutud kontole oli juurdepääs avalikust Internetist, ei olnud sellel lubatud ka mitmefaktoriline autentimine (MFA) – enamik turbeeksperte nõustub, et see on esmatähtis turvalisus, eriti privilegeeritud kontode puhul.
Ohutegija kasutas ohustatud kontot, et luua Active Directory kasutaja – mõnevõrra jultunult – nimega 0mega ja seejärel andis uuele kontole kõik õigused, mis on vajalikud keskkonnas kaoste tekitamiseks. Nende hulka kuulusid õigused olla globaalne administraator, SharePointi administraator, Exchange'i administraator ja tiimide administraator. Täiendava hea meetme huvides kasutas ohustaja ohustatud administraatori mandaati, et anda organisatsiooni SharePoint Online keskkonnas 0mega kontole niinimetatud saidikogumi administraatori võimalused ja eemaldada kõik muud olemasolevad administraatorid.
SharePointi kõnes a saidikogu on veebisaitide rühm veebirakenduses, mis jagavad haldussätteid ja millel on sama omanik. Saidikogud kipuvad olema tavalisemad suurtes organisatsioonides, millel on mitu ärifunktsiooni ja osakondi, või väga suurte andmekogumitega organisatsioonide seas.
Obsidiani analüüsitud rünnakus kasutasid 0mega ohus osalejad rikutud administraatorimandaati, et eemaldada kahe tunni jooksul umbes 200 administraatorikontot.
Endale määratud privileegidega relvastatud ohustaja aitas seejärel end organisatsiooni SharePoint Online'i raamatukogudest sadade failide juurde hankida ja saatis need virtuaalse privaatserveri (VPS) hosti, mis oli seotud Venemaa veebimajutusettevõttega. Eksfiltreerimise hõlbustamiseks kasutas ohus osaleja avalikult kättesaadavat Node.js moodulit nimega "sppull", mis muu hulgas võimaldab arendajatel HTTP-päringuid kasutades SharePointi ressurssidega suhelda. Nagu selle hooldajad moodulit kirjeldavad, on spull "lihtne klient failide SharePointist tõmbamiseks ja allalaadimiseks".
Kui väljafiltreerimine oli lõppenud, kasutasid ründajad teist node.js moodulit nimega "sain”, et laadida ohvri SharePointi keskkonda üles tuhandeid tekstifaile, mis põhimõtteliselt teavitasid organisatsiooni just juhtunust.
Lõpp-punkti kompromiss puudub
Tavaliselt kompromiteerivad lunavararühmad SaaS-i rakendustele suunatud rünnakute puhul lõpp-punkti ja seejärel krüpteerivad või eksfiltreerivad failid, võimendades vajaduse korral külgsuunalist liikumist, ütleb Chisholm. "Antud juhul kasutasid ründajad SharePoint Online'i sisselogimiseks rikutud mandaate, andsid vastloodud kontole administraatoriõigused ja seejärel automaatse andmete väljafiltreerimise sellelt uuelt kontolt, kasutades VDSinra.ru pakutava renditud hosti skripte." Ohustaja sooritas kogu rünnaku lõpp-punkti kahjustamata või lunavara käivitatavat faili kasutamata. "Meile teadaolevalt on see esimene avalikult registreeritud automaatse SaaS-i lunavara väljapressimise juhtum," ütleb ta.
Chisholm ütleb, et Obsidian on viimase kuue kuu jooksul täheldanud rohkem ettevõtte SaaS-i keskkondadele suunatud ründeid kui kahe eelneva aasta jooksul kokku. Ta ütleb, et suur osa ründajate kasvavast huvist tuleneb asjaolust, et organisatsioonid panevad SaaS-i rakendustesse üha enam reguleeritud, konfidentsiaalset ja muud tundlikku teavet, rakendamata samasuguseid juhtelemente nagu lõpp-punkti tehnoloogiate puhul. "See on lihtsalt uusim ohutehnika, mida näeme halbade näitlejate poolt," ütleb ta. "Organisatsioonid peavad olema ette valmistatud ja tagama, et neil on kogu SaaS-i keskkonnas olemas õiged ennetavad riskijuhtimise tööriistad."
Teised on teatanud, et on täheldanud sarnast suundumust. AppOmni andmetel on olnud a SaaS-i rünnakute tõus 300%. just alates 1. märtsist 2023 Salesforce'i kogukonna saitidel ja muudel SaaS-i rakendustel. Peamised ründevektorid on hõlmanud liigseid külaliskasutaja õigusi, liigseid objektide ja väljade õigusi, MFA puudumist ja üleprivilegeeritud juurdepääsu tundlikele andmetele. Odaseva eelmisel aastal läbi viidud uuringus ütles 48% vastanutest, et nende organisatsioon oli viimase 12 kuu jooksul kogenud lunavararünnakut. Sihtmärgiks olid SaaS-i andmed enam kui pooltel (51%) rünnakutest.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- EVM Finance. Detsentraliseeritud rahanduse ühtne liides. Juurdepääs siia.
- Quantum Media Group. IR/PR võimendatud. Juurdepääs siia.
- PlatoAiStream. Web3 andmete luure. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :on
- :on
- :mitte
- 1
- 12
- 12 kuud
- 200
- 2023
- 7
- a
- juurdepääs
- juurdepääsetav
- Ligipääs
- Vastavalt
- konto
- Kontod
- üle
- aktiivne
- osalejad
- Täiendavad lisad
- aadress
- admin
- haldus-
- administraatorid
- vastu
- Materjal: BPA ja flataatide vaba plastik
- võimaldab
- Ka
- vahel
- an
- analüüsitud
- ja
- Teine
- ilmub
- taotlus
- rakendused
- OLEME
- AS
- seotud
- At
- rünnak
- Reageerib
- tähelepanu
- Autentimine
- Automatiseeritud
- saadaval
- Halb
- põhiline
- Põhimõtteliselt
- BE
- sest
- olnud
- hakkas
- BEST
- äri
- äritegevuse funktsioonid
- by
- kutsutud
- võimeid
- juhul
- klient
- kaasrahastaja
- kogumine
- Kollektsioonid
- kombineeritud
- kogukond
- Ettevõtted
- ettevõte
- täitma
- kompromiss
- Kompromissitud
- kompromiteeriv
- läbi
- kontrolli
- looma
- loodud
- MANDAAT
- volikiri
- andmed
- andmekogumid
- osakonnad
- kirjeldama
- Arendajad
- DID
- lae alla
- jõupingutusi
- ELEVATE
- lubatud
- Lõpp-punkt
- Lõpp-punkti turvalisus
- piisavalt
- tagama
- ettevõte
- Kogu
- täielikult
- keskkond
- keskkondades
- eriti
- lõpuks
- vahetamine
- täidetud
- eksfiltreerimine
- olemasolevate
- kogenud
- ekspertide
- väljapressimine
- hõlbustada
- asjaolu
- väli
- Faile
- Firma
- esimene
- Keskenduma
- eest
- Alates
- funktsioonid
- Globaalne
- hea
- anda
- antud
- Grupp
- Grupi omad
- Kasvavad
- külaline
- olnud
- Pool
- juhtus
- Olema
- he
- aitas
- võõrustaja
- Hosting
- Kuidas
- http
- HTTPS
- sajad
- rakendamisel
- in
- lisatud
- üha rohkem
- info
- teavitatakse
- Näiteks
- selle asemel
- suhelda
- huvi
- Internet
- sisse
- Investeeringud
- pole
- IT
- ITS
- jpg
- lihtsalt
- Laps
- teadmised
- puudus
- suur
- viimane
- Eelmisel aastal
- hiljemalt
- võimendav
- raamatukogud
- logi
- juhtimine
- juhtimisvahendite
- palju
- Märts
- märtsil 1
- mõõtma
- mehhanismid
- MFA
- Microsoft
- Leevendada
- moodulid
- kuu
- rohkem
- kõige
- liikumine
- palju
- mitmekordne
- vajalik
- Vajadus
- vaja
- vajav
- Uus
- äsja
- sõlme
- Node.js
- nüüd
- objekt
- saamine
- esineb
- of
- maha
- on
- ONE
- Internetis
- ainult
- or
- organisatsioon
- organisatsioonid
- Muu
- meie
- üle
- omanik
- Maksma
- periood
- Õigused
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- valmis
- vältida
- eelmine
- esmane
- era-
- privilegeeritud
- privileegid
- Proaktiivne
- kaitse
- tingimusel
- avalik
- avalikult
- Putting
- Lunaraha
- ransomware
- Ransomware rünnak
- RE
- dokumenteeritud
- reguleeritud
- kõrvaldama
- aru
- Teatatud
- Taotlusi
- Teadlased
- Vahendid
- vastanutest
- õige
- Oht
- riskijuhtimise
- RU
- Venemaa
- s
- SaaS
- müügijõud
- sama
- ütlus
- ütleb
- skripte
- tagatud
- turvalisus
- nägemine
- tundlik
- Saadetud
- teenus
- Komplektid
- seaded
- Jaga
- Näitused
- sarnane
- lihtne
- alates
- site
- Saidid
- SIX
- Kuus kuud
- mõned
- midagi
- mõnevõrra
- varred
- ladustamine
- Uuring
- Edukalt
- sihtimine
- meeskonnad
- Tehnoloogiad
- kui
- et
- .
- oma
- Neile
- ennast
- SIIS
- Seal.
- Need
- nad
- asjad
- see
- tuhandeid
- oht
- ohus osalejad
- Läbi
- et
- töövahendid
- Trend
- kaks
- NIMETAMATA
- kasutama
- Kasutatud
- Kasutaja
- kasutamine
- tavaliselt
- väga
- Ohver
- virtuaalne
- oli
- we
- web
- Veebirakendus
- M
- mis
- kogu
- koos
- jooksul
- ilma
- aasta
- aastat
- sephyrnet