Le groupe de ransomwares 0mega a réussi une attaque d'extorsion contre l'environnement SharePoint Online d'une entreprise sans avoir besoin d'utiliser un point de terminaison compromis, ce qui est généralement le cas de ces attaques. Au lieu de cela, le groupe malveillant semble avoir utilisé un compte administrateur faiblement sécurisé pour infiltrer l'environnement de l'entreprise anonyme, élever les autorisations et éventuellement exfiltrer les données sensibles des bibliothèques SharePoint de la victime. Les données ont été utilisées pour extorquer à la victime le paiement d’une rançon.
Probablement la première attaque du genre
L'attaque mérite notre attention car la plupart des efforts des entreprises pour lutter contre la menace des ransomwares ont tendance à se concentrer sur les mécanismes de protection des points finaux, déclare Glenn Chisholm, cofondateur et CPO chez Obsidian, la société de sécurité qui découvert l'attaque.
« Les entreprises ont tenté de prévenir ou d'atténuer les attaques de groupes de ransomwares entièrement en investissant dans la sécurité des points finaux », explique Chisholm. « Cette attaque montre que la sécurité des terminaux ne suffit pas, car de nombreuses entreprises stockent et accèdent désormais aux données dans des applications SaaS. »
L'attaque observée par Obsidian a commencé avec l'obtention par un acteur du groupe 0mega d'un identifiant de compte de service mal sécurisé appartenant à l'un des administrateurs Microsoft Global de l'organisation victime. Non seulement le compte piraté était accessible depuis l’Internet public, mais l’authentification multifacteur (MFA) n’était pas non plus activée – ce qui, selon la plupart des experts en sécurité, est une nécessité de sécurité fondamentale, en particulier pour les comptes privilégiés.
L’acteur malveillant a utilisé le compte compromis pour créer un utilisateur Active Directory – de manière quelque peu effrontée – appelé « 0mega », puis a accordé au nouveau compte toutes les autorisations nécessaires pour créer des ravages dans l’environnement. Celles-ci incluaient les autorisations pour être un administrateur global, un administrateur SharePoint, un administrateur Exchange et un administrateur Teams. Pour faire bonne mesure supplémentaire, l'acteur malveillant a utilisé les informations d'identification d'administrateur compromises pour accorder au compte 0mega des capacités d'administrateur de collection de sites au sein de l'environnement SharePoint Online de l'organisation et pour supprimer tous les autres administrateurs existants.
En langage SharePoint, un la collection de sites est un groupe de sites Web au sein d’une application Web partageant des paramètres administratifs et ayant le même propriétaire. Collections de sites ont tendance à être plus courants dans les grandes organisations comportant plusieurs fonctions et départements commerciaux, ou parmi les organisations disposant de très grands ensembles de données.
Dans l’attaque analysée par Obsidian, les acteurs de la menace 0mega ont utilisé les informations d’identification d’administrateur compromises pour supprimer quelque 200 comptes d’administrateur sur une période de deux heures.
Armé des privilèges qu'il s'est attribués, l'auteur de la menace s'est ensuite servi de centaines de fichiers provenant des bibliothèques SharePoint Online de l'organisation et les a envoyés à un hôte de serveur privé virtuel (VPS) associé à une société d'hébergement Web en Russie. Pour faciliter l'exfiltration, l'acteur malveillant a utilisé un module Node.js accessible au public appelé « sppull » qui permet, entre autres, aux développeurs d'interagir avec les ressources SharePoint à l'aide de requêtes HTTP. Comme ses responsables décrivent le module, sppull est un « client simple pour extraire et télécharger des fichiers depuis SharePoint ».
Une fois l’exfiltration terminée, les attaquants ont utilisé un autre module node.js appelé «eu» pour télécharger des milliers de fichiers texte dans l'environnement SharePoint de la victime qui informaient essentiellement l'organisation de ce qui venait de se passer.
Aucun compromis sur les points de terminaison
Habituellement, dans les attaques ciblant les applications SaaS, les groupes de ransomwares compromettent un point final, puis chiffrent ou exfiltrent les fichiers, en exploitant le mouvement latéral si nécessaire, explique Chisholm. "Dans ce cas, les attaquants ont utilisé des informations d'identification compromises pour se connecter à SharePoint Online et ont accordé des privilèges administratifs à un compte nouvellement créé, puis ont automatisé l'exfiltration des données de ce nouveau compte à l'aide de scripts sur un hôte loué fourni par VDSinra.ru." L’auteur de la menace a exécuté l’intégralité de l’attaque sans compromettre un point final ni utiliser d’exécutable de ransomware. « À notre connaissance, il s’agit du premier cas d’extorsion automatisée de ransomware SaaS enregistré publiquement », dit-il.
Chisholm affirme qu'Obsidian a observé davantage d'attaques ciblant les environnements SaaS d'entreprise au cours des six derniers mois qu'au cours des deux années précédentes combinées. Une grande partie de l’intérêt croissant des attaquants vient du fait que les organisations placent de plus en plus d’informations réglementées, confidentielles et autres informations sensibles dans les applications SaaS sans mettre en œuvre le même type de contrôles que sur les technologies de point final, explique-t-il. « Ce n'est que la dernière technique de menace que nous voyons de la part de mauvais acteurs », dit-il. « Les organisations doivent être préparées et s’assurer qu’elles disposent des bons outils proactifs de gestion des risques dans l’ensemble de leur environnement SaaS. »
D’autres ont rapporté avoir observé une tendance similaire. Selon AppOmni, il y a eu un Hausse de 300 % des attaques SaaS seulement depuis le 1er mars 2023 sur les sites communautaires Salesforce et autres applications SaaS. Les principaux vecteurs d'attaque incluent les autorisations excessives des utilisateurs invités, les autorisations excessives sur les objets et les champs, le manque de MFA et l'accès trop privilégié aux données sensibles. Selon une étude menée par Odaseva l'année dernière, 48 % des personnes interrogées ont déclaré que leur organisation avait subi une attaque de ransomware au cours des 12 mois précédents et que Les données SaaS étaient la cible dans plus de la moitié (51 %) des attaques.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Financement EVM. Interface unifiée pour la finance décentralisée. Accéder ici.
- Groupe de médias quantiques. IR/PR amplifié. Accéder ici.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :possède
- :est
- :ne pas
- 1
- 12
- 12 mois
- 200
- 2023
- 7
- a
- accès
- accessible
- accès
- Selon
- Compte
- hybrides
- à travers
- infection
- acteurs
- Supplémentaire
- propos
- admin
- administratif
- administrateurs
- à opposer à
- Tous
- permet
- aussi
- parmi
- an
- analysé
- et les
- Une autre
- apparaît
- Application
- applications
- SONT
- AS
- associé
- At
- attaquer
- Attaques
- précaution
- Authentification
- Automatisation
- disponibles
- Mal
- Essentiel
- En gros
- BE
- car
- était
- a commencé
- LES MEILLEURS
- la performance des entreprises
- Fonctions commerciales
- by
- appelé
- capacités
- maisons
- client
- co-fondateur
- collection
- collections
- combiné
- Communautés
- Sociétés
- Société
- complet
- compromis
- Compromise
- compromettre
- menée
- contrôles
- engendrent
- créée
- CRÉDENTIEL
- Lettres de créance
- données
- ensembles de données
- départements
- décrire
- mobiles
- DID
- download
- efforts
- LE NIVEAU SUPÉRIEUR
- activé
- Endpoint
- Endpoint Security
- assez
- assurer
- Entreprise
- Tout
- entièrement
- Environment
- environnements
- notamment
- faire une éventuelle
- échange
- réalisé
- exfiltration
- existant
- expérimenté
- de santé
- extorsion
- faciliter
- fait
- champ
- Fichiers
- Ferme
- Prénom
- Focus
- Pour
- De
- fonctions
- Global
- Bien
- subvention
- accordée
- Réservation de groupe
- Groupes
- Croissance
- GUEST
- ait eu
- Half
- arrivé
- Vous avez
- he
- a aidé
- hôte
- hébergement
- Comment
- http
- HTTPS
- Des centaines
- la mise en œuvre
- in
- inclus
- de plus en plus
- d'information
- Actualités
- instance
- plutôt ;
- interagir
- intérêt
- Internet
- développement
- Investissements
- ISN
- IT
- SES
- jpg
- juste
- Genre
- spécialisées
- Peindre
- gros
- Nom
- L'année dernière
- Nouveautés
- en tirant parti
- bibliothèques
- enregistrer
- gestion
- d'outils de gestion
- de nombreuses
- Mars
- Mars 1
- mesurer
- mécanismes
- MFA
- Microsoft
- Réduire les
- Module
- mois
- PLUS
- (en fait, presque toutes)
- mouvement
- beaucoup
- plusieurs
- nécessaire
- Besoin
- nécessaire
- besoin
- Nouveauté
- nouvellement
- nœud
- Node.js
- maintenant
- objet
- obtention
- se produire
- of
- de rabais
- on
- ONE
- en ligne
- uniquement
- or
- organisation
- organisations
- Autre
- nos
- plus de
- propriétaire
- Payer
- période
- autorisations
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- préparé
- empêcher
- précédent
- primaire
- Privé
- privilégié
- privilèges
- Cybersécurité
- protection
- à condition de
- public
- publiquement
- Putting
- Ransom
- ransomware
- Attaque de ransomware
- RE
- enregistré
- réglementé
- supprimez
- rapport
- Signalé
- demandes
- chercheurs
- Resources
- répondants
- bon
- Analyse
- la gestion des risques
- RU
- Russie
- s
- SaaS.
- force de vente
- même
- dire
- dit
- scripts
- sécurisé
- sécurité
- voir
- sensible
- envoyé
- service
- Sets
- Paramétres
- Partager
- Spectacles
- similaires
- étapes
- depuis
- site
- Sites
- SIX
- Six mois
- quelques
- quelque chose
- quelque peu
- découle
- stockage
- Étude
- Avec succès
- ciblage
- équipes
- Les technologies
- que
- qui
- Le
- leur
- Les
- se
- puis
- Là.
- Ces
- l'ont
- des choses
- this
- milliers
- menace
- acteurs de la menace
- Avec
- à
- les outils
- Trend
- deux
- ANONYME
- utilisé
- d'utiliser
- Utilisateur
- en utilisant
- d'habitude
- très
- Victime
- Salle de conférence virtuelle
- était
- we
- web
- application Web
- Quoi
- qui
- la totalité
- comprenant
- dans les
- sans
- an
- années
- zéphyrnet