0mega ransomware-gruppen har vellykket gjennomført et utpressingsangrep mot et selskaps SharePoint Online-miljø uten å måtte bruke et kompromittert endepunkt, og det er slik disse angrepene vanligvis utfolder seg. I stedet ser det ut til at trusselgruppen har brukt en svakt sikret administratorkonto for å infiltrere det navnløse selskapets miljø, heve tillatelser og til slutt eksfiltrere sensitive data fra offerets SharePoint-biblioteker. Dataene ble brukt til å presse offeret til å betale løsepenger.
Sannsynligvis første av sitt slag angrep
Angrepet fortjener oppmerksomhet fordi de fleste bedrifters innsats for å adressere løsepengevaretrusselen har en tendens til å fokusere på endepunktbeskyttelsesmekanismer, sier Glenn Chisholm, medgründer og CPO i Obsidian, sikkerhetsfirmaet som oppdaget angrepet.
"Bedrifter har forsøkt å forhindre eller dempe angrep fra løsepengevaregruppe helt gjennom endepunktsikkerhetsinvesteringer," sier Chisholm. "Dette angrepet viser at endepunktsikkerhet ikke er nok, ettersom mange selskaper nå lagrer og får tilgang til data i SaaS-applikasjoner."
Angrepet som Obsidian observerte begynte med at en 0mega-gruppeaktør fikk en dårlig sikret tjenestekontolegitimasjon som tilhører en av offerorganisasjonens Microsoft Global-administratorer. Ikke bare var den brutte kontoen tilgjengelig fra det offentlige Internett, den hadde heller ikke multifaktorautentisering (MFA) aktivert - noe som de fleste sikkerhetseksperter er enige om er en grunnleggende sikkerhetsnødvendighet, spesielt for privilegerte kontoer.
Trusselaktøren brukte den kompromitterte kontoen til å opprette en Active Directory-bruker - litt frekk - kalt "0mega" og fortsatte deretter med å gi den nye kontoen alle tillatelsene som trengs for å skape kaos i miljøet. Disse inkluderte tillatelser til å være Global Admin, SharePoint Admin, Exchange Admin og Teams-administrator. For ytterligere gode tiltak brukte trusselaktøren den kompromitterte administratorlegitimasjonen for å gi 0mega-kontoen med såkalte administratorfunksjoner for nettstedsamling i organisasjonens SharePoint Online-miljø og for å fjerne alle andre eksisterende administratorer.
I SharePoint-speak, en nettstedsamling er en gruppe nettsteder i en nettapplikasjon som deler administrative innstillinger og har samme eier. Nettstedsamlinger pleier å være mer vanlig i store organisasjoner med flere forretningsfunksjoner og avdelinger, eller blant organisasjoner med svært store datasett.
I angrepet som Obsidian analyserte, brukte 0mega-trusselsaktører den kompromitterte administratorlegitimasjonen for å fjerne rundt 200 administratorkontoer i løpet av en to-timers periode.
Bevæpnet med de selvtildelte privilegiene hjalp trusselaktøren seg selv til hundrevis av filer fra organisasjonens SharePoint Online-biblioteker og sendte dem til en virtuell privat server (VPS)-vert tilknyttet et webvertsfirma i Russland. For å lette eksfiltreringen brukte trusselaktøren en offentlig tilgjengelig Node.js-modul kalt «sppull» som blant annet lar utviklere samhandle med SharePoint-ressurser ved hjelp av HTTP-forespørsler. Som vedlikeholderne beskriver modulen, er spull en "enkel klient for å hente og laste ned filer fra SharePoint."
Når eksfiltreringen var fullført, brukte angriperne en annen node.js-modul kalt "fikk” for å laste opp tusenvis av tekstfiler til offerets SharePoint-miljø som i utgangspunktet informerte organisasjonen om hva som nettopp hadde skjedd.
Ingen sluttpunktkompromiss
Vanligvis, i angrep rettet mot SaaS-applikasjoner, kompromitterer løsepengevaregrupper et endepunkt og krypterer eller eksfiltrerer filer, og utnytter sideveis bevegelse etter behov, sier Chisholm. "I dette tilfellet brukte angriperne kompromittert legitimasjon for å logge på SharePoint Online gitt administrative rettigheter til en nyopprettet konto, og deretter automatisert dataeksfiltrering fra den nye kontoen ved å bruke skript på en leid vert levert av VDSinra.ru." Trusselaktøren utførte hele angrepet uten å kompromittere et endepunkt eller bruke en kjørbar løsepengevare. "Så vidt vi vet, er dette den første offentlig registrerte forekomsten av automatisert SaaS løsepengevareutpressing," sier han.
Chisholm sier at Obsidian har observert flere angrep rettet mot enterprise SaaS-miljøer de siste seks månedene enn de to foregående årene til sammen. Mye av den økende angriperinteressen stammer fra det faktum at organisasjoner i økende grad legger regulert, konfidensiell og annen sensitiv informasjon inn i SaaS-applikasjoner uten å implementere samme type kontroller som de er på endepunktteknologier, sier han. "Dette er bare den siste trusselteknikken vi ser fra dårlige skuespillere," sier han. "Organisasjoner må være forberedt og sikre at de har de riktige proaktive risikostyringsverktøyene på plass i hele SaaS-miljøet."
Andre har rapportert å observere en lignende trend. I følge AppOmni har det vært en 300 % økning i SaaS-angrep bare siden 1. mars 2023 på Salesforce Community Sites og andre SaaS-applikasjoner. De primære angrepsvektorene har inkludert overdreven gjestebrukertillatelser, overdreven objekt- og felttillatelser, mangel på MFA og overprivilegert tilgang til sensitive data. En studie som Odaseva utførte i fjor hadde 48 % av respondentene som sa at organisasjonen deres hadde opplevd et løsepengeangrep i løpet av de siste 12 månedene og SaaS-data var målet i mer enn halvparten (51 %) av angrepene.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- EVM Finans. Unified Interface for desentralisert økonomi. Tilgang her.
- Quantum Media Group. IR/PR forsterket. Tilgang her.
- PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- : har
- :er
- :ikke
- 1
- 12
- 12 måneder
- 200
- 2023
- 7
- a
- adgang
- tilgjengelig
- Tilgang
- Ifølge
- Logg inn
- kontoer
- tvers
- aktiv
- aktører
- Ytterligere
- adresse
- admin
- administrativ
- administratorer
- mot
- Alle
- tillater
- også
- blant
- an
- analysert
- og
- En annen
- vises
- Søknad
- søknader
- ER
- AS
- assosiert
- At
- angripe
- Angrep
- oppmerksomhet
- Autentisering
- Automatisert
- tilgjengelig
- dårlig
- grunnleggende
- I utgangspunktet
- BE
- fordi
- vært
- begynte
- BEST
- virksomhet
- forretningsfunksjoner
- by
- som heter
- evner
- saken
- kunde
- med-grunnlegger
- samling
- samlinger
- kombinert
- samfunnet
- Selskaper
- Selskapet
- fullføre
- kompromiss
- kompromittert
- kompromittere
- gjennomført
- kontroller
- skape
- opprettet
- KREDENSISJON
- Credentials
- dato
- datasett
- avdelinger
- beskrive
- utviklere
- gJORDE
- nedlasting
- innsats
- Hev
- aktivert
- Endpoint
- Endpoint sikkerhet
- nok
- sikre
- Enterprise
- Hele
- fullstendig
- Miljø
- miljøer
- spesielt
- etter hvert
- utveksling
- henrettet
- eksfiltrering
- eksisterende
- erfaren
- eksperter
- utpressing
- legge til rette
- Faktisk
- felt
- Filer
- Firm
- Først
- Fokus
- Til
- fra
- funksjoner
- Global
- god
- innvilge
- innvilget
- Gruppe
- Gruppens
- Økende
- Gjest
- HAD
- Halvparten
- skjedde
- Ha
- he
- hjulpet
- vert
- Hosting
- Hvordan
- http
- HTTPS
- Hundrevis
- implementere
- in
- inkludert
- stadig
- informasjon
- informert
- f.eks
- i stedet
- samhandle
- interesse
- Internet
- inn
- Investeringer
- er n
- IT
- DET ER
- jpg
- bare
- Type
- kunnskap
- maling
- stor
- Siste
- I fjor
- siste
- utnytte
- bibliotekene
- logg
- ledelse
- styringsverktøy
- mange
- Mars
- mars 1
- måle
- mekanismer
- MFA
- Microsoft
- Minske
- Moduler
- måneder
- mer
- mest
- bevegelse
- mye
- flere
- nødvendig
- Trenger
- nødvendig
- trenger
- Ny
- nylig
- node
- node.js
- nå
- objekt
- å skaffe seg
- forekommende
- of
- off
- on
- ONE
- på nett
- bare
- or
- organisasjon
- organisasjoner
- Annen
- vår
- enn
- eieren
- Betale
- perioden
- tillatelser
- Sted
- plato
- Platon Data Intelligence
- PlatonData
- forberedt
- forebygge
- forrige
- primære
- privat
- privilegert
- privilegier
- Proaktiv
- beskyttelse
- forutsatt
- offentlig
- offentlig
- Sette
- Ransom
- ransomware
- Ransomware -angrep
- RE
- registrert
- regulert
- fjerne
- rapporterer
- rapportert
- forespørsler
- forskere
- Ressurser
- respondentene
- ikke sant
- Risiko
- risikostyring
- RU
- Russland
- s
- SaaS
- Salesforce
- samme
- sier
- sier
- skript
- sikret
- sikkerhet
- se
- sensitive
- sendt
- tjeneste
- sett
- innstillinger
- Del
- Viser
- lignende
- Enkelt
- siden
- nettstedet
- Nettsteder
- SIX
- Seks måneder
- noen
- noe
- noe
- stammer
- lagring
- Studer
- vellykket
- rettet mot
- lag
- Technologies
- enn
- Det
- De
- deres
- Dem
- seg
- deretter
- Der.
- Disse
- de
- ting
- denne
- tusener
- trussel
- trusselaktører
- Gjennom
- til
- verktøy
- Trend
- to
- UNAVNT
- bruke
- brukt
- Bruker
- ved hjelp av
- vanligvis
- veldig
- Offer
- virtuelle
- var
- we
- web
- Webapplikasjon
- Hva
- hvilken
- hele
- med
- innenfor
- uten
- år
- år
- zephyrnet