0mega ransomware -ryhmä on onnistuneesti toteuttanut kiristyshyökkäyksen yrityksen SharePoint Online -ympäristöä vastaan ilman, että on tarvinnut käyttää vaarantunutta päätepistettä, kuten nämä hyökkäykset yleensä kehittyvät. Sen sijaan uhkaryhmä näyttää käyttäneen heikosti suojattua järjestelmänvalvojan tiliä soluttautuakseen nimettömän yrityksen ympäristöön, korottaakseen käyttöoikeuksia ja lopulta suodattaneen arkaluonteisia tietoja uhrin SharePoint-kirjastoista. Tietoja käytettiin kiristämään uhria maksamaan lunnaita.
Todennäköisesti ensimmäinen laatuaan hyökkäys
Hyökkäys ansaitsee huomion, koska useimmat yritysten pyrkimykset torjua kiristyshaittaohjelmia keskittyvät päätepisteiden suojausmekanismeihin, sanoo Glenn Chisholm, Obsidianin, turvayrityksen, perustaja ja CPO. löysi hyökkäyksen.
"Yritykset ovat yrittäneet estää tai lieventää kiristysohjelmaryhmien hyökkäyksiä kokonaan päätepisteiden tietoturvainvestoinneilla", Chisholm sanoo. "Tämä hyökkäys osoittaa, että päätepisteiden suojaus ei riitä, sillä monet yritykset tallentavat ja käyttävät nyt tietoja SaaS-sovelluksissa."
Obsidianin havaitsema hyökkäys alkoi siitä, että 0mega-ryhmän toimija sai huonosti suojatun palvelutilin tunnistetiedot, jotka kuuluivat yhdelle uhriorganisaation Microsoft Global -järjestelmänvalvojalle. Rikkoutuneelle tilille ei vain ollut pääsyä julkisesta Internetistä, vaan siinä ei myöskään ollut käytössä monitekijätodennusta (MFA) – asia, jonka useimmat tietoturvaasiantuntijat ovat yhtä mieltä, on perusturvatarve, erityisesti etuoikeutetuille tileille.
Uhkatoimija käytti vaarantunutta tiliä luodakseen Active Directory -käyttäjän - hieman röyhkeästi - nimeltä "0mega" ja myönsi sitten uudelle tilille kaikki tarvittavat luvat ympäristön tuhoamiseen. Näihin sisältyi oikeudet toimia globaalina järjestelmänvalvojana, SharePoint-järjestelmänvalvojana, Exchange-järjestelmänvalvojana ja Teams-järjestelmänvalvojana. Lisäksi uhkatekijä käytti vaarantunutta järjestelmänvalvojan tunnistetietoa myöntääkseen 0mega-tilille niin sanotut sivustokokoelman järjestelmänvalvojan ominaisuudet organisaation SharePoint Online -ympäristössä ja poistaakseen kaikki muut olemassa olevat järjestelmänvalvojat.
SharePoint-speakissa a sivustokokoelma on joukko verkkosivustoja Web-sovelluksessa, joka jakaa järjestelmänvalvojan asetukset ja joilla on sama omistaja. Sivustokokoelmat ovat yleensä yleisempiä suurissa organisaatioissa, joissa on useita liiketoimintatoimintoja ja osastoja, tai organisaatioissa, joissa on erittäin suuria tietojoukkoja.
Obsidianin analysoimassa hyökkäyksessä 0mega-uhkatoimijat käyttivät vaarantuneita järjestelmänvalvojan valtuuksia poistaakseen noin 200 järjestelmänvalvojan tiliä kahden tunnin kuluessa.
Aseistettuna itse määritetyillä oikeuksilla uhkatoimija auttoi sitten itsensä satojen tiedostojen luomiseen organisaation SharePoint Online -kirjastoista ja lähetti ne virtuaalisen yksityisen palvelimen (VPS) -isäntään, joka oli yhdistetty Venäjällä sijaitsevaan web-hosting-yritykseen. Suodattamisen helpottamiseksi uhkatekijä käytti julkisesti saatavilla olevaa Node.js-moduulia nimeltä "sppull", jonka avulla kehittäjät voivat muun muassa olla vuorovaikutuksessa SharePoint-resurssien kanssa HTTP-pyyntöjen avulla. Kuten sen ylläpitäjät kuvailevat moduulia, spull on "yksinkertainen asiakasohjelma tiedostojen noutamiseen ja lataamiseen SharePointista".
Kun suodatus oli valmis, hyökkääjät käyttivät toista node.js-moduulia nimeltä "sai” ladata uhrin SharePoint-ympäristöön tuhansia tekstitiedostoja, jotka periaatteessa kertoivat organisaatiolle juuri tapahtuneesta.
Ei päätepisteen kompromisseja
Yleensä SaaS-sovelluksiin kohdistetuissa hyökkäyksissä kiristysohjelmaryhmät vaarantavat päätepisteen ja sitten salaavat tai suodattavat tiedostoja hyödyntäen tarvittaessa sivuttaisliikettä, Chisholm sanoo. "Tässä tapauksessa hyökkääjät käyttivät vaarantuneita tunnistetietoja kirjautuakseen SharePoint Onlineen ja myönsivät järjestelmänvalvojan oikeudet äskettäin luodulle tilille ja sitten automaattisen tietojen suodattamisen uudesta tilistä käyttämällä VDSinra.ru:n vuokraamalla isännällä olevia komentosarjoja." Uhkatoimija suoritti koko hyökkäyksen päätepistettä vaarantamatta tai lunnasohjelman suoritettavaa ohjelmaa käyttämättä. "Parhaan tietomme mukaan tämä on ensimmäinen julkisesti tallennettu tapaus automatisoidusta SaaS-kiristysohjelmasta", hän sanoo.
Chisholmin mukaan Obsidian on havainnut enemmän yritysten SaaS-ympäristöihin kohdistuneita hyökkäyksiä viimeisen kuuden kuukauden aikana kuin kahden edellisen vuoden aikana yhteensä. Suuri osa hyökkääjien kasvavasta kiinnostuksesta johtuu siitä, että organisaatiot lisäävät yhä enemmän säänneltyjä, luottamuksellisia ja muita arkaluonteisia tietoja SaaS-sovelluksiin ilman, että ne ottavat käyttöön samanlaisia valvontatoimia kuin päätepisteteknologioissa, hän sanoo. "Tämä on vain uusin uhkatekniikka, jonka näemme huonoilta toimijoiden taholta", hän sanoo. "Organisaatioiden on oltava valmiita ja varmistettava, että niillä on oikeat ennakoivat riskinhallintatyökalut koko SaaS-ympäristössä."
Muut ovat raportoineet havainneensa samanlaista suuntausta. AppOmnin mukaan on ollut a 300 % nousu SaaS-hyökkäyksissä vain 1. maaliskuuta 2023 lähtien Salesforce-yhteisösivustoilla ja muissa SaaS-sovelluksissa. Ensisijaisia hyökkäysvektoreita ovat olleet liialliset vieraskäyttäjäoikeudet, liialliset objektien ja kenttien käyttöoikeudet, MFA:n puute ja ylioikeutettu pääsy arkaluontoisiin tietoihin. Odasevan viime vuonna tekemässä tutkimuksessa 48 % vastaajista sanoi, että heidän organisaationsa oli kokenut kiristysohjelmahyökkäyksen viimeisten 12 kuukauden aikana. SaaS-data oli kohteena yli puolessa (51 %) hyökkäyksistä.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- EVM Finance. Hajautetun rahoituksen yhtenäinen käyttöliittymä. Pääsy tästä.
- Quantum Media Group. IR/PR vahvistettu. Pääsy tästä.
- PlatoAiStream. Web3 Data Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :on
- :On
- :ei
- 1
- 12
- 12 kuukautta
- 200
- 2023
- 7
- a
- pääsy
- saatavilla
- Pääsy
- Mukaan
- Tili
- Tilit
- poikki
- aktiivinen
- toimijoiden
- lisä-
- osoite
- admin
- hallinnollinen
- ylläpitäjät
- vastaan
- Kaikki
- mahdollistaa
- Myös
- keskuudessa
- an
- analysoidaan
- ja
- Toinen
- näyttää
- Hakemus
- sovellukset
- OVAT
- AS
- liittyvä
- At
- hyökkäys
- Hyökkäykset
- huomio
- Authentication
- Automatisoitu
- saatavissa
- Huono
- perustiedot
- Pohjimmiltaan
- BE
- koska
- ollut
- alkoi
- PARAS
- liiketoiminta
- liiketoiminnot
- by
- nimeltään
- kyvyt
- tapaus
- asiakas
- cofounder
- kokoelma
- kokoelmat
- yhdistetty
- yhteisö
- Yritykset
- yritys
- täydellinen
- kompromissi
- Vaarantunut
- vaarantamatta
- tehty
- valvonta
- luoda
- luotu
- TOIMINTAKERTOMUS
- Valtakirja
- tiedot
- tietueita
- osastot
- kuvata
- kehittäjille
- DID
- download
- ponnisteluja
- ELEVATE
- käytössä
- päätepiste
- Endpoint-suojaus
- tarpeeksi
- varmistaa
- yritys
- Koko
- täysin
- ympäristö
- ympäristöissä
- erityisesti
- lopulta
- Vaihdetaan
- teloitettiin
- suodatus
- olemassa
- kokenut
- asiantuntijat
- kiristys
- helpottamaan
- tosiasia
- ala
- Asiakirjat
- Yritys
- Etunimi
- Keskittää
- varten
- alkaen
- tehtävät
- Global
- hyvä
- myöntää
- myönnetty
- Ryhmä
- Ryhmän
- Kasvava
- vieras
- HAD
- Puoli
- tapahtui
- Olla
- he
- auttanut
- isäntä
- hotellit
- Miten
- http
- HTTPS
- Sadat
- täytäntöönpanosta
- in
- mukana
- yhä useammin
- tiedot
- tietoa
- esimerkki
- sen sijaan
- olla vuorovaikutuksessa
- korko
- Internet
- tulee
- Investoinnit
- ISN
- IT
- SEN
- jpg
- vain
- laji
- tuntemus
- Lack
- suuri
- Sukunimi
- Viime vuonna
- uusin
- vipuvaikutuksen
- kirjastot
- log
- johto
- hallinta Työkalut
- monet
- maaliskuu
- maaliskuu 1
- mitata
- mekanismit
- UM
- Microsoft
- lieventää
- Moduulit
- kk
- lisää
- eniten
- liike
- paljon
- moninkertainen
- välttämätön
- Tarve
- tarvitaan
- tarvitsevat
- Uusi
- hiljattain
- solmu
- Node.js
- nyt
- objekti
- saada
- esiintyviä
- of
- pois
- on
- ONE
- verkossa
- vain
- or
- organisaatio
- organisaatioiden
- Muut
- meidän
- yli
- omistaja
- Maksaa
- aika
- Oikeudet
- Paikka
- Platon
- Platonin tietotieto
- PlatonData
- valmis
- estää
- edellinen
- ensisijainen
- yksityinen
- etuoikeutettu
- oikeudet
- Ennakoiva
- suojaus
- mikäli
- julkinen
- julkisesti
- Putting
- Lunnaat
- ransomware
- Ransomware -hyökkäys
- RE
- kirjataan
- säännelty
- poistaa
- raportti
- raportoitu
- pyynnöt
- Tutkijat
- Esittelymateriaalit
- vastaajat
- oikein
- Riski
- riskienhallinta
- RU
- Venäjä
- s
- SaaS
- Salesforce
- sama
- sanonta
- sanoo
- skriptejä
- turvattu
- turvallisuus
- koska
- sensible
- lähetetty
- palvelu
- Setit
- settings
- Jaa:
- Näytä
- samankaltainen
- Yksinkertainen
- koska
- paikka
- Sivustot
- SIX
- Kuusi kuukautta
- jonkin verran
- jotain
- jokseenkin
- varret
- tallentamiseksi
- tutkimus
- Onnistuneesti
- kohdistaminen
- tiimit
- Technologies
- kuin
- että
- -
- heidän
- Niitä
- itse
- sitten
- Siellä.
- Nämä
- ne
- asiat
- tätä
- tuhansia
- uhkaus
- uhka toimijat
- Kautta
- että
- työkalut
- Trend
- kaksi
- NIMETTÖMÄT
- käyttää
- käytetty
- käyttäjä
- käyttämällä
- yleensä
- hyvin
- Uhri
- Virtual
- oli
- we
- verkko
- Web-sovellus
- Mitä
- joka
- koko
- with
- sisällä
- ilman
- vuosi
- vuotta
- zephyrnet