De 0mega-ransomwaregroep heeft met succes een afpersingsaanval op de SharePoint Online-omgeving van een bedrijf uitgevoerd zonder een gecompromitteerd eindpunt te gebruiken, zoals deze aanvallen gewoonlijk verlopen. In plaats daarvan lijkt de bedreigingsgroep een zwak beveiligd beheerdersaccount te hebben gebruikt om de naamloze bedrijfsomgeving te infiltreren, machtigingen te verhogen en uiteindelijk gevoelige gegevens uit de SharePoint-bibliotheken van het slachtoffer te exfiltreren. De gegevens werden gebruikt om het slachtoffer af te persen om losgeld te betalen.
Waarschijnlijk de eerste aanval in zijn soort
De aanval verdient aandacht omdat de meeste inspanningen van bedrijven om de ransomware-dreiging aan te pakken zich richten op endpoint-beschermingsmechanismen, zegt Glenn Chisholm, medeoprichter en CPO bij Obsidian, het beveiligingsbedrijf dat ontdekte de aanval.
"Bedrijven hebben geprobeerd aanvallen van ransomware-groepen volledig te voorkomen of te beperken door investeringen in endpointbeveiliging", zegt Chisholm. "Deze aanval toont aan dat endpoint-beveiliging niet genoeg is, aangezien veel bedrijven nu gegevens opslaan en gebruiken in SaaS-applicaties."
De aanval die Obsidian observeerde, begon met een 0mega-groepsacteur die een slecht beveiligde serviceaccountreferentie verwierf van een van de Microsoft Global-beheerders van de slachtofferorganisatie. Het geschonden account was niet alleen toegankelijk vanaf het openbare internet, het had ook geen multi-factor authenticatie (MFA) ingeschakeld - iets waarvan de meeste beveiligingsexperts het erover eens zijn dat het een basisbeveiligingsbehoefte is, vooral voor geprivilegieerde accounts.
De bedreigingsactor gebruikte het gecompromitteerde account om een Active Directory-gebruiker aan te maken - enigszins brutaal - met de naam "0mega" en gaf vervolgens het nieuwe account alle machtigingen die nodig waren om chaos in de omgeving te veroorzaken. Deze omvatten machtigingen om Global Admin, SharePoint Admin, Exchange Admin en Teams Administrator te zijn. Als extra goede maatregel gebruikte de bedreigingsactor de gecompromitteerde beheerdersreferentie om het 0mega-account met zogenaamde beheerdersmogelijkheden voor siteverzamelingen binnen de SharePoint Online-omgeving van de organisatie toe te kennen en om alle andere bestaande beheerders te verwijderen.
In SharePoint-taal, een siteverzameling is een groep websites binnen een webtoepassing die beheerinstellingen delen en dezelfde eigenaar hebben. Site-verzamelingen komen vaker voor in grote organisaties met meerdere bedrijfsfuncties en afdelingen, of tussen organisaties met zeer grote datasets.
Bij de aanval die Obsidian analyseerde, gebruikten 0mega-dreigingsactoren de gecompromitteerde beheerdersreferenties om zo'n 200 beheerdersaccounts binnen een periode van twee uur te verwijderen.
Gewapend met de zelf toegewezen privileges hielp de bedreigingsactor zichzelf vervolgens aan honderden bestanden uit de SharePoint Online-bibliotheken van de organisatie en stuurde ze naar een virtual private server (VPS)-host die was gekoppeld aan een webhostingbedrijf in Rusland. Om de exfiltratie te vergemakkelijken, gebruikte de bedreigingsactor een openbaar beschikbare Node.js-module genaamd "sppull", waarmee ontwikkelaars onder andere kunnen communiceren met SharePoint-bronnen met behulp van HTTP-verzoeken. Zoals de beheerders de module beschrijven, is sppull een "eenvoudige client om bestanden van SharePoint op te halen en te downloaden".
Nadat de exfiltratie was voltooid, gebruikten de aanvallers een andere node.js-module met de naam "kreeg” om duizenden tekstbestanden te uploaden naar de SharePoint-omgeving van het slachtoffer die de organisatie feitelijk informeerde over wat er net was gebeurd.
Geen eindpuntcompromis
Bij aanvallen die gericht zijn op SaaS-applicaties, compromitteren ransomware-groepen gewoonlijk een eindpunt en versleutelen of exfiltreren vervolgens bestanden, waarbij ze waar nodig gebruik maken van zijwaartse beweging, zegt Chisholm. "In dit geval gebruikten de aanvallers gecompromitteerde inloggegevens om in te loggen op SharePoint Online en verleenden ze beheerdersrechten aan een nieuw aangemaakt account, en vervolgens geautomatiseerde data-exfiltratie van dat nieuwe account met behulp van scripts op een gehuurde host van VDSinra.ru." De bedreigingsactor voerde de hele aanval uit zonder een eindpunt in gevaar te brengen of een uitvoerbaar ransomware-bestand te gebruiken. "Voor zover wij weten, is dit het eerste openbaar geregistreerde geval van geautomatiseerde SaaS-ransomware-afpersing", zegt hij.
Chisholm zegt dat Obsidian in de afgelopen zes maanden meer aanvallen op zakelijke SaaS-omgevingen heeft waargenomen dan in de voorgaande twee jaar samen. Veel van de groeiende interesse van aanvallers komt voort uit het feit dat organisaties steeds vaker gereguleerde, vertrouwelijke en andere gevoelige informatie in SaaS-applicaties stoppen zonder dezelfde soort controles te implementeren als bij endpoint-technologieën, zegt hij. "Dit is slechts de nieuwste bedreigingstechniek die we zien van slechte acteurs", zegt hij. "Organisaties moeten voorbereid zijn en ervoor zorgen dat ze over de juiste proactieve risicobeheertools beschikken in hun hele SaaS-omgeving."
Anderen hebben gemeld dat ze een vergelijkbare trend waarnamen. Volgens AppOmni is er een 300% stijging in SaaS-aanvallen pas sinds 1 maart 2023 op Salesforce Community Sites en andere SaaS-applicaties. De primaire aanvalsvectoren omvatten buitensporige gastgebruikersmachtigingen, buitensporige object- en veldmachtigingen, gebrek aan MFA en te hoge toegang tot gevoelige gegevens. Uit een onderzoek dat Odaseva vorig jaar heeft uitgevoerd, bleek dat 48% van de respondenten zei dat hun organisatie in de afgelopen 12 maanden een ransomware-aanval had meegemaakt en SaaS-gegevens waren het doelwit in meer dan de helft (51%) van de aanvallen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- EVM Financiën. Uniforme interface voor gedecentraliseerde financiën. Toegang hier.
- Quantum Media Groep. IR/PR versterkt. Toegang hier.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- : heeft
- :is
- :niet
- 1
- 12
- 12 maanden
- 200
- 2023
- 7
- a
- toegang
- beschikbaar
- toegang
- Volgens
- Account
- accounts
- over
- actieve
- actoren
- Extra
- adres
- beheerder
- administratief
- beheerders
- tegen
- Alles
- toestaat
- ook
- onder
- an
- geanalyseerd
- en
- Nog een
- komt naar voren
- Aanvraag
- toepassingen
- ZIJN
- AS
- geassocieerd
- At
- aanvallen
- Aanvallen
- aandacht
- authenticatie
- geautomatiseerde
- Beschikbaar
- slecht
- basis-
- Eigenlijk
- BE
- omdat
- geweest
- begon
- BEST
- bedrijfsdeskundigen
- zakelijke functies
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- mogelijkheden
- geval
- klant
- mede-oprichter
- Collectie
- collecties
- gecombineerde
- gemeenschap
- Bedrijven
- afstand
- compleet
- compromis
- Aangetast
- afbreuk te doen aan
- uitgevoerd
- controles
- en je merk te creëren
- aangemaakt
- IDENTIFICATIE
- Geloofsbrieven
- gegevens
- gegevenssets
- afdelingen
- beschrijven
- ontwikkelaars
- DEED
- Download
- inspanningen
- ELEVATE
- ingeschakeld
- Endpoint
- Endpoint security
- genoeg
- verzekeren
- Enterprise
- Geheel
- geheel
- Milieu
- omgevingen
- vooral
- uiteindelijk
- uitwisseling
- uitgevoerd
- exfiltratie
- bestaand
- ervaren
- deskundigen
- afpersing
- vergemakkelijken
- feit
- veld-
- Bestanden
- Stevig
- Voornaam*
- Focus
- Voor
- oppompen van
- functies
- Globaal
- goed
- toe te kennen
- verleend
- Groep
- Groep
- Groeiend
- Gast
- HAD
- Helft
- gebeurd
- Hebben
- he
- geholpen
- gastheer
- Hosting
- Hoe
- http
- HTTPS
- Honderden
- uitvoering
- in
- inclusief
- in toenemende mate
- informatie
- op de hoogte
- instantie
- verkrijgen in plaats daarvan
- interactie
- belang
- Internet
- in
- Investeringen
- isn
- IT
- HAAR
- jpg
- voor slechts
- Soort
- kennis
- Gebrek
- Groot
- Achternaam*
- Afgelopen jaar
- laatste
- leveraging
- bibliotheken
- inloggen
- management
- management tools
- veel
- Maart
- maart 1
- maatregel
- mechanismen
- MFA
- Microsoft
- Verzachten
- Module
- maanden
- meer
- meest
- beweging
- veel
- meervoudig
- noodzakelijk
- Noodzaak
- nodig
- nodig
- New
- onlangs
- knooppunt
- Node.js
- nu
- object
- het verkrijgen van
- voorkomend
- of
- korting
- on
- EEN
- online.
- Slechts
- or
- organisatie
- organisaties
- Overige
- onze
- over
- eigenaar
- Betaal
- periode
- permissies
- plaats
- Plato
- Plato gegevensintelligentie
- PlatoData
- bereid
- voorkomen
- vorig
- primair
- privaat
- bevoorrecht
- voorrechten
- Proactieve
- bescherming
- mits
- publiek
- in het openbaar
- Putting
- Losgeld
- ransomware
- Ransomware-aanval
- RE
- opgenomen
- gereguleerd
- verwijderen
- verslag
- gemeld
- verzoeken
- onderzoekers
- Resources
- respondenten
- rechts
- Risico
- risicobeheer
- RU
- Rusland
- s
- SaaS
- verkoopsteam
- dezelfde
- gezegde
- zegt
- scripts
- Beveiligde
- veiligheid
- te zien
- gevoelig
- verzonden
- service
- Sets
- settings
- Delen
- Shows
- gelijk
- Eenvoudig
- sinds
- website
- Locaties
- ZES
- Zes maanden
- sommige
- iets
- enigszins
- stengels
- bewaartemperatuur
- Studie
- Met goed gevolg
- targeting
- teams
- Technologies
- neem contact
- dat
- De
- hun
- Ze
- zich
- harte
- Er.
- Deze
- ze
- spullen
- dit
- duizenden kosten
- bedreiging
- bedreigingsactoren
- Door
- naar
- tools
- trend
- twee
- NAAM
- .
- gebruikt
- Gebruiker
- gebruik
- doorgaans
- zeer
- Slachtoffer
- Virtueel
- was
- we
- web
- web applicatie
- Wat
- welke
- geheel
- Met
- binnen
- zonder
- jaar
- jaar
- zephyrnet