A 0mega ransomware csoport sikeresen végrehajtott egy zsaroló támadást egy vállalat SharePoint Online környezete ellen anélkül, hogy kompromittált végpontot kellett volna használnia, és általában így zajlanak le ezek a támadások. Ehelyett úgy tűnik, hogy a fenyegetettségi csoport egy gyengén védett rendszergazdai fiókot használt a meg nem nevezett vállalat környezetébe való behatolásra, az engedélyek növelésére, és végül az áldozat SharePoint-könyvtáraiból való érzékeny adatok kiszivárgására. Az adatokat arra használták fel, hogy az áldozatot váltságdíj fizetésére zsarolják ki.
Valószínűleg az első ilyen jellegű támadás
A támadás azért érdemel figyelmet, mert a legtöbb vállalati erőfeszítés a zsarolóvírus-fenyegetettség leküzdésére általában a végpontvédelmi mechanizmusokra összpontosít, mondja Glenn Chisholm, az Obsidian biztonsági cég társalapítója és CPO-ja. felfedezte a támadást.
„A vállalatok teljes mértékben végpontbiztonsági befektetésekkel próbálták megakadályozni vagy mérsékelni a ransomware-csoportok támadásait” – mondja Chisholm. "Ez a támadás azt mutatja, hogy a végpontok biztonsága nem elég, mivel sok vállalat már SaaS-alkalmazásokban tárolja és éri el az adatokat."
Az Obsidian által megfigyelt támadás azzal kezdődött, hogy egy 0mega csoport szereplője megszerezte az áldozat szervezet egyik Microsoft Global rendszergazdájának rosszul védett szolgáltatási fiókjának hitelesítő adatait. A feltört fiók nemcsak elérhető volt a nyilvános internetről, de nem volt engedélyezve a többtényezős hitelesítés (MFA) sem – amiben a legtöbb biztonsági szakértő egyetért, hogy alapvető biztonsági szükséglet, különösen a privilegizált fiókok esetében.
A fenyegetettség szereplője a feltört fiókot arra használta, hogy létrehozzon egy Active Directory-felhasználót – kissé szemtelenül – „0mega” néven, majd megadta az új fióknak a környezet pusztításához szükséges összes engedélyt. Ezek közé tartozott a globális rendszergazda, a SharePoint-rendszergazda, az Exchange-rendszergazda és a Teams-adminisztrátor. A további jó intézkedés érdekében a fenyegetettség szereplője a feltört rendszergazdai hitelesítő adatok segítségével úgynevezett webhelygyűjtemény-rendszergazdai képességekkel ruházta fel a 0mega fiókot a szervezet SharePoint Online környezetében, és eltávolította az összes többi meglévő rendszergazdát.
A SharePoint-beszédben a A webhelygyűjtemény webhelyek csoportja egy webalkalmazáson belül, amelyek megosztják a felügyeleti beállításokat és ugyanaz a tulajdonos. Webhelygyűjtemények gyakoribbak több üzleti funkcióval és részleggel rendelkező nagy szervezetekben, vagy nagyon nagy adatkészlettel rendelkező szervezetekben.
Az Obsidian által elemzett támadásban a 0mega fenyegetés szereplői a feltört adminisztrátori hitelesítő adatok segítségével mintegy 200 rendszergazdai fiókot távolítottak el két órán belül.
A fenyegetettség szereplője a saját maga által kiosztott jogosultságokkal felvértezve több száz fájlhoz segített hozzá a szervezet SharePoint Online könyvtáraiból, és elküldte azokat egy oroszországi webtárhely-szolgáltatóhoz kapcsolódó virtuális magánkiszolgáló (VPS) gazdagépére. A kiszűrés megkönnyítése érdekében a fenyegetettség szereplője egy nyilvánosan elérhető Node.js modult, „sppull”-t használt, amely többek között lehetővé teszi a fejlesztők számára, hogy HTTP-kérésekkel kommunikáljanak a SharePoint-erőforrásokkal. Ahogy a karbantartói leírják a modult, a spull egy „egyszerű kliens a fájlok SharePointból való letöltéséhez és letöltéséhez”.
Miután a kiszűrés befejeződött, a támadók egy másik node.js modult használtak, a „kapott” több ezer szöveges fájl feltöltésére az áldozat SharePoint környezetébe, amelyek alapvetően tájékoztatták a szervezetet a történtekről.
Nincs végpont kompromisszum
Általában a SaaS-alkalmazásokat célzó támadások során a zsarolóvírus-csoportok kompromittálnak egy végpontot, majd titkosítják vagy kiszűrik a fájlokat, szükség szerint kihasználva az oldalirányú mozgást, mondja Chisholm. "Ebben az esetben a támadók feltört hitelesítő adatokat használtak a SharePoint Online-ba való bejelentkezéshez adminisztrátori jogosultságokat adtak egy újonnan létrehozott fiókhoz, majd az új fiókból automatikusan kiszűrték az adatokat a VDSinra.ru által biztosított bérelt gazdagépen található szkriptek segítségével." A fenyegetés szereplője az egész támadást anélkül hajtotta végre, hogy veszélyeztetett volna egy végpontot vagy egy ransomware futtatható fájlt. „Legjobb tudomásunk szerint ez az első nyilvánosan feljegyzett eset az automatizált SaaS zsarolóprogramok zsarolására” – mondja.
Chisholm szerint az Obsidian több vállalati SaaS-környezetet célzó támadást figyelt meg az elmúlt hat hónapban, mint az előző két évben összesen. A támadók növekvő érdeklődésének nagy része abból a tényből fakad, hogy a szervezetek egyre gyakrabban helyeznek el szabályozott, bizalmas és egyéb érzékeny információkat SaaS-alkalmazásokba anélkül, hogy a végponti technológiákhoz hasonló vezérlőket alkalmaznának. „Ez csak a legújabb fenyegetési technika, amit rossz színészektől látunk” – mondja. „A szervezeteknek fel kell készülniük, és biztosítaniuk kell, hogy megfelelő proaktív kockázatkezelési eszközökkel rendelkezzenek a teljes SaaS-környezetükben.”
Mások is hasonló tendenciát figyeltek meg. Az AppOmni szerint volt a 300%-os növekedés a SaaS támadásokban csak 1. március 2023. óta a Salesforce közösségi webhelyeken és más SaaS-alkalmazásokban. Az elsődleges támadási vektorok közé tartozik a túlzott vendégfelhasználói engedélyek, a túlzott objektum- és mezőengedélyek, az MFA hiánya és az érzékeny adatokhoz való túlzott hozzáférés. Az Odaseva tavaly végzett tanulmányában a válaszadók 48%-a nyilatkozott úgy, hogy szervezetüket az elmúlt 12 hónapban ransomware támadás érte. A SaaS-adatok voltak a célpontok a támadások több mint felében (51%).
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- EVM Finance. Egységes felület a decentralizált pénzügyekhez. Hozzáférés itt.
- Quantum Media Group. IR/PR erősített. Hozzáférés itt.
- PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :van
- :is
- :nem
- 1
- 12
- 12 hónap
- 200
- 2023
- 7
- a
- hozzáférés
- hozzáférhető
- Hozzáférés
- Szerint
- Fiók
- Fiókok
- át
- aktív
- szereplők
- További
- cím
- admin
- adminisztratív
- adminisztrátorok
- ellen
- Minden termék
- lehetővé teszi, hogy
- Is
- között
- an
- elemzett
- és a
- Másik
- Megjelenik
- Alkalmazás
- alkalmazások
- VANNAK
- AS
- társult
- At
- támadás
- Támadások
- figyelem
- Hitelesítés
- Automatizált
- elérhető
- Rossz
- alapvető
- Alapvetően
- BE
- mert
- óta
- kezdődött
- BEST
- üzleti
- üzleti funkciók
- by
- hívott
- képességek
- eset
- vásárló
- társalapító
- gyűjtemény
- gyűjtemény
- kombinált
- közösség
- Companies
- vállalat
- teljes
- kompromisszum
- Veszélyeztetett
- veszélyeztetése
- lefolytatott
- ellenőrzések
- teremt
- készítette
- HITELEZÉS
- Hitelesítő adatok
- dátum
- adatkészletek
- osztályok
- leírni
- fejlesztők
- DID
- letöltés
- erőfeszítések
- ELEMELNI
- engedélyezve
- Endpoint
- Végpontbiztonság
- elég
- biztosítására
- Vállalkozás
- Egész
- teljesen
- Környezet
- környezetek
- különösen
- végül is
- csere
- végrehajtott
- kiszűrés
- létező
- tapasztalt
- szakértők
- zsarolás
- megkönnyítése
- tény
- mező
- Fájlok
- Cég
- vezetéknév
- Összpontosít
- A
- ból ből
- funkciók
- Globális
- jó
- biztosít
- megadott
- Csoport
- Csoportok
- Növekvő
- Vendég
- kellett
- fél
- történt
- Legyen
- he
- segített
- vendéglátó
- tárhely
- Hogyan
- http
- HTTPS
- Több száz
- végrehajtási
- in
- beleértve
- egyre inkább
- információ
- tájékoztatták
- példa
- helyette
- kölcsönhatásba
- kamat
- Internet
- bele
- Beruházások
- Hát
- IT
- ITS
- jpg
- éppen
- Kedves
- tudás
- hiány
- nagy
- keresztnév
- Tavaly
- legutolsó
- erőfölény
- könyvtárak
- log
- vezetés
- menedzsment eszközök
- sok
- március
- 1. március
- intézkedés
- mechanizmusok
- MFA
- microsoft
- Enyhít
- Modulok
- hónap
- több
- a legtöbb
- mozgalom
- sok
- többszörös
- elengedhetetlen
- Szükség
- szükséges
- igénylő
- Új
- újonnan
- csomópont
- node.js
- Most
- tárgy
- megszerzése
- előforduló
- of
- kedvezmény
- on
- ONE
- online
- csak
- or
- szervezet
- szervezetek
- Más
- mi
- felett
- tulajdonos
- Fizet
- időszak
- engedélyek
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- előkészített
- megakadályozása
- előző
- elsődleges
- magán
- kiváltságos
- kiváltságok
- proaktív
- védelem
- feltéve,
- nyilvános
- nyilvánosan
- elhelyezés
- Váltságdíj
- ransomware
- Ransomware támadás
- RE
- feljegyzett
- szabályozott
- eltávolítása
- jelentést
- Számolt
- kéri
- kutatók
- Tudástár
- A válaszadók
- jobb
- Kockázat
- kockázatkezelés
- RU
- Oroszország
- s
- SaaS
- értékesítési erő
- azonos
- mondás
- azt mondja,
- szkriptek
- biztosított
- biztonság
- látás
- érzékeny
- küldött
- szolgáltatás
- Szettek
- beállítások
- Megosztás
- Műsorok
- hasonló
- Egyszerű
- óta
- weboldal
- Webhely (ek)
- SIX
- Hat hónap
- néhány
- valami
- némileg
- szárak
- tárolása
- Tanulmány
- sikeresen
- célzás
- csapat
- Technologies
- mint
- hogy
- A
- azok
- Őket
- maguk
- akkor
- Ott.
- Ezek
- ők
- dolgok
- ezt
- ezer
- fenyegetés
- fenyegetés szereplői
- Keresztül
- nak nek
- szerszámok
- tendencia
- kettő
- NÉVTELEN
- használ
- használt
- használó
- segítségével
- rendszerint
- nagyon
- Áldozat
- Tényleges
- volt
- we
- háló
- webalkalmazás
- Mit
- ami
- egész
- val vel
- belül
- nélkül
- év
- év
- zephyrnet