Grupul de ransomware 0mega a reușit cu succes un atac de extorcare împotriva mediului SharePoint Online al unei companii, fără a fi nevoie să folosească un punct final compromis, așa cum se desfășoară de obicei aceste atacuri. În schimb, grupul de amenințări pare să fi folosit un cont de administrator slab securizat pentru a se infiltra în mediul companiei fără nume, pentru a ridica permisiunile și, în cele din urmă, pentru a exfiltra date sensibile din bibliotecile SharePoint ale victimei. Datele au fost folosite pentru a stoarce victima să plătească o răscumpărare.
Probabil primul atac de acest gen
Atacul merită atenție, deoarece majoritatea eforturilor întreprinderii de a aborda amenințarea ransomware tind să se concentreze pe mecanismele de protecție a punctelor terminale, spune Glenn Chisholm, cofondator și CPO la Obsidian, firma de securitate care a descoperit atacul.
„Companiile au încercat să prevină sau să atenueze atacurile grupurilor de ransomware în întregime prin investiții în securitatea terminalelor”, spune Chisholm. „Acest atac arată că securitatea punctelor terminale nu este suficientă, deoarece multe companii stochează și accesează acum date în aplicații SaaS.”
Atacul observat de Obsidian a început cu un actor de grup 0mega care a obținut o acreditare de cont de serviciu prost securizată aparținând unuia dintre administratorii Microsoft Global ai organizației victime. Nu numai că contul încălcat era accesibil de pe Internetul public, dar nu avea activată autentificarea multi-factor (MFA) - ceva despre care majoritatea experților în securitate sunt de acord că este o necesitate de bază de securitate, în special pentru conturile privilegiate.
Actorul amenințării a folosit contul compromis pentru a crea un utilizator Active Directory – oarecum nerăbdător – numit „0mega”, apoi a continuat să acorde noului cont toate permisiunile necesare pentru a crea ravagii în mediu. Acestea includ permisiunile de a fi administrator global, administrator SharePoint, administrator Exchange și administrator de echipe. Pentru o măsură suplimentară bună, actorul amenințării a folosit acreditările de administrator compromise pentru a acorda contului 0mega așa-numitele capacități de administrator de colecție de site-uri în mediul SharePoint Online al organizației și pentru a elimina toți ceilalți administratori existenți.
În vorbirea SharePoint, a colecția de site-uri este un grup de site-uri web într-o aplicație Web care partajează setări administrative și au același proprietar. Colecții de site tind să fie mai frecvente în organizații mari cu mai multe funcții și departamente de afaceri sau între organizații cu seturi de date foarte mari.
În atacul pe care l-a analizat Obsidian, actorii de amenințări 0mega au folosit acreditările de administrator compromise pentru a elimina aproximativ 200 de conturi de administrator într-o perioadă de două ore.
Înarmat cu privilegiile auto-atribuite, actorul amenințării s-a ajutat apoi la sute de fișiere din bibliotecile SharePoint Online ale organizației și le-a trimis la o gazdă de server privat virtual (VPS) asociat cu o companie de găzduire web din Rusia. Pentru a facilita exfiltrarea, actorul amenințării a folosit un modul Node.js disponibil public numit „sppull” care, printre altele, permite dezvoltatorilor să interacționeze cu resursele SharePoint folosind cereri HTTP. Așa cum menținerii săi descriu modulul, sppull este un „client simplu pentru a extrage și descărca fișiere de pe SharePoint”.
Odată ce exfiltrarea a fost completă, atacatorii au folosit un alt modul node.js numit „am” pentru a încărca mii de fișiere text în mediul SharePoint al victimei care, practic, au informat organizația despre ceea ce tocmai se întâmplase.
Fără compromis la punctul final
De obicei, în atacurile care vizează aplicațiile SaaS, grupurile de ransomware compromit un punct final și apoi criptează sau exfiltrează fișierele, valorificând mișcarea laterală după cum este necesar, spune Chisholm. „În acest caz, atacatorii au folosit acreditări compromise pentru a se conecta la SharePoint Online, au acordat privilegii administrative unui cont nou creat și apoi au automatizat exfiltrarea datelor din acel cont nou folosind scripturi pe o gazdă închiriată furnizată de VDSinra.ru.” Actorul amenințării a executat întregul atac fără a compromite un punct final sau a folosi un executabil ransomware. „Din câte știm, aceasta este prima instanță înregistrată public de extorcare automată de ransomware SaaS care are loc”, spune el.
Chisholm spune că Obsidian a observat mai multe atacuri care vizează mediile SaaS ale întreprinderilor în ultimele șase luni decât în ultimii doi ani combinați. O mare parte din interesul din ce în ce mai mare al atacatorilor provine din faptul că organizațiile pun din ce în ce mai mult informații reglementate, confidențiale și alte informații sensibile în aplicațiile SaaS, fără a implementa același tip de controale ca și pentru tehnologiile terminale, spune el. „Aceasta este doar cea mai recentă tehnică de amenințare pe care o vedem de la actorii răi”, spune el. „Organizațiile trebuie să fie pregătite și să se asigure că au instrumentele adecvate de gestionare a riscurilor proactive în întregul lor mediu SaaS.”
Alții au raportat că au observat o tendință similară. Potrivit AppOmni a existat o Creștere de 300% a atacurilor SaaS tocmai de la 1 martie 2023 pe site-urile comunității Salesforce și alte aplicații SaaS. Vectorii de atac primari au inclus permisiuni excesive de utilizator invitat, permisiuni excesive pentru obiecte și câmpuri, lipsa MFA și accesul excesiv la date sensibile. Un studiu efectuat de Odaseva anul trecut a făcut ca 48% dintre respondenți spunând că organizația lor a suferit un atac de tip ransomware în ultimele 12 luni și Datele SaaS au fost ținta în mai mult de jumătate (51%) dintre atacuri.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- EVM Finance. Interfață unificată pentru finanțare descentralizată. Accesați Aici.
- Grupul Quantum Media. IR/PR amplificat. Accesați Aici.
- PlatoAiStream. Web3 Data Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :are
- :este
- :nu
- 1
- 12
- 12 luni
- 200
- 2023
- 7
- a
- acces
- accesibil
- accesarea
- Conform
- Cont
- Conturi
- peste
- activ
- actori
- Suplimentar
- adresa
- admin
- administrativ
- administratori
- împotriva
- TOATE
- permite
- de asemenea
- printre
- an
- analizate
- și
- O alta
- apare
- aplicație
- aplicatii
- SUNT
- AS
- asociate
- At
- ataca
- Atacuri
- atenţie
- Autentificare
- Automata
- disponibil
- Rău
- de bază
- Pe scurt
- BE
- deoarece
- fost
- început
- CEL MAI BUN
- afaceri
- funcții de afaceri
- by
- denumit
- capacități
- caz
- client
- co-fondator
- colectare
- colecții
- combinate
- comunitate
- Companii
- companie
- Completă
- compromis
- compromis
- compromisor
- efectuat
- controale
- crea
- a creat
- CREDENTIALĂ
- scrisori de acreditare
- de date
- seturi de date
- departamente
- descrie
- Dezvoltatorii
- FĂCUT
- Descarca
- Eforturile
- ELEVATE
- activat
- Punct final
- Securitatea punctului final
- suficient de
- asigura
- Afacere
- Întreg
- în întregime
- Mediu inconjurator
- medii
- mai ales
- în cele din urmă
- schimb
- executat
- exfiltrațiile
- existent
- cu experienţă
- experți
- stoarcere
- facilita
- fapt
- camp
- Fişiere
- Firmă
- First
- Concentra
- Pentru
- din
- funcții
- Caritate
- bine
- acordarea
- acordate
- grup
- Grupului
- În creştere
- Oaspete
- HAD
- Jumătate
- sa întâmplat
- Avea
- he
- a ajutat
- gazdă
- găzduire
- Cum
- http
- HTTPS
- sute
- Punere în aplicare a
- in
- inclus
- tot mai mult
- informații
- informat
- instanță
- in schimb
- interacţiona
- interes
- Internet
- în
- Investiții
- ISN
- IT
- ESTE
- jpg
- doar
- Copil
- cunoştinţe
- lipsă
- mare
- Nume
- Anul trecut
- Ultimele
- efectului de pârghie
- biblioteci
- log
- administrare
- Instrumente de management
- multe
- Martie
- Martie 1
- măsura
- mecanisme
- AMF
- Microsoft
- diminua
- Module
- luni
- mai mult
- cele mai multe
- mişcare
- mult
- multiplu
- necesar
- Nevoie
- necesar
- au nevoie
- Nou
- recent
- nod
- Node.js
- acum
- obiect
- obținerea
- care apar
- of
- de pe
- on
- ONE
- on-line
- afară
- or
- organizație
- organizații
- Altele
- al nostru
- peste
- proprietar
- Plătește
- perioadă
- permisiuni
- Loc
- Plato
- Informații despre date Platon
- PlatoData
- pregătit
- împiedica
- precedent
- primar
- privat
- privilegiat
- privilegii
- Proactivă
- protecţie
- prevăzut
- public
- public
- Punând
- Răscumpărare
- Ransomware
- Atac Ransomware
- RE
- inregistrata
- reglementate
- scoate
- raportează
- Raportat
- cereri de
- cercetători
- Resurse
- respondenți
- dreapta
- Risc
- de gestionare a riscurilor
- RU
- Rusia
- s
- SaaS
- Salesforce
- acelaşi
- spunând
- spune
- script-uri
- securizat
- securitate
- vedere
- sensibil
- trimis
- serviciu
- Seturi
- setări
- Distribuie
- Emisiuni
- asemănător
- simplu
- întrucât
- teren
- Centre de cercetare
- SIX
- Șase luni
- unele
- ceva
- oarecum
- tulpini
- stocarea
- Studiu
- Reușit
- direcționare
- echipe
- Tehnologii
- decât
- acea
- lor
- Lor
- se
- apoi
- Acolo.
- Acestea
- ei
- lucruri
- acest
- mii
- amenințare
- actori amenințători
- Prin
- la
- Unelte
- tendință
- Două
- ANONIM
- utilizare
- utilizat
- Utilizator
- folosind
- obișnuit
- foarte
- Victimă
- Virtual
- a fost
- we
- web
- aplicatie web
- Ce
- care
- întreg
- cu
- în
- fără
- an
- ani
- zephyrnet