Группа вымогателей 0mega успешно провела вымогательскую атаку на корпоративную среду SharePoint Online без необходимости использовать скомпрометированную конечную точку, как обычно разворачиваются эти атаки. Вместо этого группа угроз использовала слабозащищенную учетную запись администратора для проникновения в среду неназванной компании, повышения разрешений и, в конечном итоге, извлечения конфиденциальных данных из библиотек SharePoint жертвы. Данные использовались для вымогательства у жертвы выкупа.
Вероятно, первая в своем роде атака
Атака заслуживает внимания, потому что большинство усилий предприятий по борьбе с угрозой программ-вымогателей, как правило, сосредоточены на механизмах защиты конечных точек, говорит Гленн Чизхолм, соучредитель и главный директор по безопасности Obsidian. обнаружил атаку.
«Компании пытались полностью предотвратить или смягчить атаки групп программ-вымогателей за счет инвестиций в безопасность конечных точек», — говорит Чисхолм. «Эта атака показывает, что защиты конечных точек недостаточно, поскольку многие компании сейчас хранят данные и получают к ним доступ в приложениях SaaS».
Атака, которую наблюдал Obsidian, началась с того, что участник группы 0mega получил плохо защищенные учетные данные служебной учетной записи, принадлежащие одному из глобальных администраторов Microsoft организации-жертвы. Мало того, что взломанная учетная запись была доступна из общедоступного Интернета, в ней также не была включена многофакторная аутентификация (MFA), что, по мнению большинства экспертов по безопасности, является базовой необходимостью безопасности, особенно для привилегированных учетных записей.
Злоумышленник использовал скомпрометированную учетную запись для создания пользователя Active Directory — несколько нагло — с именем «0mega», а затем приступил к предоставлению новой учетной записи всех разрешений, необходимых для создания хаоса в среде. К ним относятся разрешения быть глобальным администратором, администратором SharePoint, администратором Exchange и администратором Teams. В качестве дополнительной меры злоумышленник использовал скомпрометированные учетные данные администратора, чтобы предоставить учетной записи 0mega так называемые возможности администратора семейства веб-сайтов в среде SharePoint Online организации и удалить всех других существующих администраторов.
Говоря языком SharePoint, коллекция веб-сайтов — это группа веб-сайтов в веб-приложении с общими административными настройками и одним владельцем. Коллекции сайтов имеют тенденцию быть более распространенными в крупных организациях с несколькими бизнес-функциями и отделами или среди организаций с очень большими наборами данных.
В атаке, которую проанализировала Obsidian, злоумышленники 0mega использовали скомпрометированные учетные данные администратора, чтобы удалить около 200 учетных записей администраторов в течение двух часов.
Вооружившись самоназначенными привилегиями, злоумышленник затем завладел сотнями файлов из библиотек SharePoint Online организации и отправил их на узел виртуального частного сервера (VPS), связанный с веб-хостинговой компанией в России. Чтобы облегчить эксфильтрацию, злоумышленник использовал общедоступный модуль Node.js под названием «spull», который, среди прочего, позволяет разработчикам взаимодействовать с ресурсами SharePoint с помощью HTTP-запросов. Как его сопровождающие описывают модуль, sppull — это «простой клиент для извлечения и загрузки файлов из SharePoint».
После завершения эксфильтрации злоумышленники использовали другой модуль node.js под названием «есть», чтобы загрузить тысячи текстовых файлов в среду SharePoint жертвы, которые в основном информировали организацию о том, что только что произошло.
Без компрометации конечной точки
По словам Чизхолма, обычно при атаках на приложения SaaS группы программ-вымогателей компрометируют конечную точку, а затем шифруют или извлекают файлы, используя при необходимости боковое перемещение. «В этом случае злоумышленники использовали скомпрометированные учетные данные для входа в SharePoint Online, предоставив административные привилегии для вновь созданной учетной записи, а затем автоматизировали эксфильтрацию данных из этой новой учетной записи с помощью скриптов на арендованном хосте, предоставленном VDSinra.ru». Злоумышленник выполнил всю атаку, не скомпрометировав конечную точку и не используя исполняемый файл программы-вымогателя. «Насколько нам известно, это первый публично зарегистрированный случай автоматизированного вымогательства программ-вымогателей SaaS», — говорит он.
Чисхолм говорит, что Obsidian зафиксировала больше атак на корпоративные среды SaaS за последние шесть месяцев, чем за предыдущие два года вместе взятые. По его словам, растущий интерес злоумышленников во многом связан с тем, что организации все чаще помещают регулируемую, конфиденциальную и другую конфиденциальную информацию в приложения SaaS, не внедряя такие же средства контроля, как в технологиях для конечных точек. «Это всего лишь новейшая техника угроз, которую мы видим от злоумышленников», — говорит он. «Организации должны быть готовы и убедиться, что у них есть правильные инструменты упреждающего управления рисками во всей их среде SaaS».
Другие сообщают, что наблюдали аналогичную тенденцию. Согласно AppOmni, Рост атак SaaS на 300 % только с 1 марта 2023 г. на сайтах сообщества Salesforce и других приложениях SaaS. Основные векторы атак включают чрезмерные права гостевых пользователей, чрезмерные права доступа к объектам и полям, отсутствие MFA и чрезмерный доступ к конфиденциальным данным. В исследовании, проведенном Одасевой в прошлом году, 48% респондентов заявили, что их организация подверглась атаке программ-вымогателей за предыдущие 12 месяцев. Данные SaaS были целью более чем в половине (51%) приступов.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ЭВМ Финанс. Единый интерфейс для децентрализованных финансов. Доступ здесь.
- Квантум Медиа Групп. ИК/PR усиление. Доступ здесь.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- :имеет
- :является
- :нет
- 1
- 12
- 12 месяцев
- 200
- 2023
- 7
- a
- доступ
- доступной
- доступа
- По
- Учетная запись
- Учетные записи
- через
- активный
- актеры
- дополнительный
- адрес
- Администратор
- административный
- администраторы
- против
- Все
- позволяет
- причислены
- среди
- an
- проанализированы
- и
- Другой
- появляется
- Применение
- Приложения
- МЫ
- AS
- связанный
- At
- атаковать
- нападки
- внимание
- Аутентификация
- Автоматизированный
- доступен
- Плохой
- основной
- в основном
- BE
- , так как:
- было
- начал
- ЛУЧШЕЕ
- бизнес
- хозяйственная деятельность
- by
- под названием
- возможности
- случаев
- клиент
- соучредитель
- лыжных шлемов
- Коллекции
- сочетании
- сообщество
- Компании
- Компания
- полный
- скомпрометированы
- Ослабленный
- компромат
- проводятся
- контрольная
- Создайте
- создали
- ПОЛНОМОЧИЯ
- Полномочия
- данным
- наборы данных
- ведомства
- описывать
- застройщиков
- DID
- скачать
- усилия
- ELEVATE
- включен
- Конечная точка
- Защита конечных точек
- достаточно
- обеспечивать
- Предприятие
- Весь
- полностью
- Окружающая среда
- средах
- особенно
- со временем
- обмена
- выполненный
- эксфильтрации
- существующий
- опытные
- эксперты
- вымогательство
- содействовал
- факт
- поле
- Файлы
- Фирма
- Во-первых,
- Фокус
- Что касается
- от
- Функции
- Глобальный
- хорошо
- предоставлять
- предоставленный
- группы
- Группы
- Рост
- GUEST
- было
- Половина
- произошло
- Есть
- he
- помог
- кашель
- хостинг
- Как
- HTTP
- HTTPS
- Сотни
- Осуществляющий
- in
- включены
- все больше и больше
- информация
- сообщил
- пример
- вместо
- взаимодействовать
- интерес
- Интернет
- в
- Вложения
- мобильной
- IT
- ЕГО
- JPG
- всего
- Вид
- знания
- Отсутствие
- большой
- Фамилия
- В прошлом году
- последний
- Используя
- библиотеки
- журнал
- управление
- Средства управления
- многих
- Март
- Март 1
- проводить измерение
- механизмы
- МИД
- Microsoft
- смягчать
- Модули
- месяцев
- БОЛЕЕ
- самых
- движение
- много
- с разными
- необходимо
- Необходимость
- необходимый
- нуждающихся
- Новые
- вновь
- узел
- Node.js
- сейчас
- объект
- получение
- происходящий
- of
- от
- on
- ONE
- онлайн
- только
- or
- организация
- организации
- Другое
- наши
- за
- владелец
- ОПЛАТИТЬ
- период
- Разрешения
- Часть
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- подготовленный
- предотвращать
- предыдущий
- первичный
- частная
- привилегированный
- привилегии
- Проактивная
- защиту
- при условии
- что такое варган?
- публично
- Полагая
- Выкуп
- вымогателей
- Атака вымогателей
- RE
- записанный
- регулируемых брокеров
- удаление
- отчету
- Сообщается
- Запросы
- исследователи
- Полезные ресурсы
- респондентов
- правую
- Снижение
- управление рисками
- RU
- Россия
- s
- SaaS
- Salesforce
- то же
- поговорка
- говорит
- скрипты
- обеспеченный
- безопасность
- видя
- чувствительный
- послать
- обслуживание
- Наборы
- настройки
- Поделиться
- Шоу
- аналогичный
- просто
- с
- сайте
- Сайтов
- ШЕСТЬ
- Шесть месяцев
- некоторые
- удалось
- в некотором роде
- стебли
- хранение
- Кабинет
- Успешно
- направлены
- команды
- технологии
- чем
- который
- Ассоциация
- их
- Их
- сами
- тогда
- Там.
- Эти
- они
- вещи
- этой
- тысячи
- угроза
- актеры угрозы
- Через
- в
- инструменты
- тенденция
- два
- UNNAMED
- использование
- используемый
- Информация о пользователе
- через
- обычно
- очень
- Жертва
- Виртуальный
- законопроект
- we
- Web
- веб приложение
- Что
- который
- все
- в
- без
- год
- лет
- зефирнет