0mega ransomware-gruppen har framgångsrikt genomfört en utpressningsattack mot ett företags SharePoint Online-miljö utan att behöva använda en äventyrad slutpunkt, vilket är hur dessa attacker vanligtvis utvecklas. Istället verkar hotgruppen ha använt ett svagt säkert administratörskonto för att infiltrera det icke namngivna företagets miljö, höja behörigheter och så småningom exfiltrera känslig data från offrets SharePoint-bibliotek. Uppgifterna användes för att tvinga offret att betala en lösensumma.
Troligen första attacken i sitt slag
Attacken förtjänar uppmärksamhet eftersom de flesta företagsinsatser för att ta itu med ransomware-hotet tenderar att fokusera på skyddsmekanismer för slutpunkter, säger Glenn Chisholm, medgrundare och CPO på Obsidian, säkerhetsföretaget som upptäckte attacken.
"Företag har försökt förhindra eller mildra attacker från ransomware-grupp helt genom investeringar i slutpunktssäkerhet", säger Chisholm. "Denna attack visar att slutpunktssäkerhet inte är tillräckligt, eftersom många företag nu lagrar och kommer åt data i SaaS-applikationer."
Attacken som Obsidian observerade började med att en 0mega-gruppaktör skaffade ett dåligt säkrat tjänstekontouppgifter som tillhörde en av offerorganisationens Microsoft Global-administratörer. Inte bara var det brutna kontot tillgängligt från det offentliga Internet, det hade inte heller multifaktorautentisering (MFA) aktiverat - något som de flesta säkerhetsexperter är överens om är en grundläggande säkerhetsnödvändighet, särskilt för privilegierade konton.
Hotaktören använde det komprometterade kontot för att skapa en Active Directory-användare - något fräckt - kallad "0mega" och fortsatte sedan med att ge det nya kontot alla behörigheter som behövs för att skapa kaos i miljön. Dessa inkluderade behörigheter att vara global administratör, SharePoint-administratör, Exchange-administratör och teamadministratör. För ytterligare god åtgärd använde hotaktören den komprometterade administratörsidentifikationen för att ge 0mega-kontot med så kallade platssamlingsadministratörsfunktioner inom organisationens SharePoint Online-miljö och för att ta bort alla andra befintliga administratörer.
I SharePoint-speak, en webbplatssamling är en grupp webbplatser i en webbapplikation som delar administrativa inställningar och har samma ägare. Webbplatssamlingar tenderar att vara vanligare i stora organisationer med flera affärsfunktioner och avdelningar, eller bland organisationer med mycket stora datamängder.
I attacken som Obsidian analyserade använde 0mega-hotaktörer de komprometterade administratörsuppgifterna för att ta bort cirka 200 administratörskonton inom en tvåtimmarsperiod.
Beväpnad med de självtilldelade privilegierna hjälpte hotaktören sig sedan till hundratals filer från organisationens SharePoint Online-bibliotek och skickade dem till en virtuell privat server (VPS) värd associerad med ett webbhotell i Ryssland. För att underlätta exfiltreringen använde hotaktören en allmänt tillgänglig Node.js-modul som heter "sppull" som bland annat låter utvecklare interagera med SharePoint-resurser med hjälp av HTTP-förfrågningar. Som dess underhållare beskriver modulen är spull en "enkel klient att hämta och ladda ner filer från SharePoint."
När exfiltreringen var klar använde angriparna en annan node.js-modul som heter "fick” att ladda upp tusentals textfiler till offrets SharePoint-miljö som i princip informerade organisationen om vad som just hade hänt.
Ingen slutpunktskompromiss
Vanligtvis, i attacker riktade mot SaaS-applikationer, äventyrar grupper av ransomware en slutpunkt och sedan krypterar eller exfiltrerar filer, och utnyttjar sidorörelser vid behov, säger Chisholm. "I det här fallet använde angriparna komprometterade autentiseringsuppgifter för att logga in på SharePoint Online beviljade administrativa privilegier till ett nyskapat konto, och sedan automatiserad dataexfiltrering från det nya kontot med skript på en hyrd värd som tillhandahålls av VDSinra.ru." Hotaktören utförde hela attacken utan att kompromissa med en slutpunkt eller använda en körbar ransomware. "Såvitt vi vet är detta den första offentligt registrerade instansen av automatisk utpressning av SaaS ransomware", säger han.
Chisholm säger att Obsidian har observerat fler attacker riktade mot företags SaaS-miljöer under de senaste sex månaderna än under de föregående två åren tillsammans. Mycket av det växande angriparintresset härrör från det faktum att organisationer i allt högre grad lägger reglerad, konfidentiell och annan känslig information i SaaS-applikationer utan att implementera samma typ av kontroller som de är på endpoint-teknologier, säger han. "Det här är bara den senaste hottekniken vi ser från dåliga skådespelare", säger han. "Organisationer måste vara förberedda och se till att de har rätt proaktiva riskhanteringsverktyg på plats i hela sin SaaS-miljö."
Andra har rapporterat att de observerar en liknande trend. Enligt AppOmni har det funnits en 300 % ökning i SaaS-attacker bara sedan 1 mars 2023 på Salesforce Community Sites och andra SaaS-applikationer. De primära attackvektorerna har inkluderat överdrivna gästanvändarbehörigheter, överdrivna objekt- och fältbehörigheter, brist på MFA och överprivilegierad åtkomst till känslig data. En studie som Odaseva genomförde förra året hade 48 % av de tillfrågade som sa att deras organisation hade upplevt en ransomware-attack under de föregående 12 månaderna och SaaS-data var målet i mer än hälften (51 %) av attackerna.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- EVM Finans. Unified Interface for Decentralized Finance. Tillgång här.
- Quantum Media Group. IR/PR förstärkt. Tillgång här.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- : har
- :är
- :inte
- 1
- 12
- 12 månader
- 200
- 2023
- 7
- a
- tillgång
- tillgänglig
- åtkomst
- Enligt
- Konto
- konton
- tvärs
- aktiv
- aktörer
- Annat
- adress
- administration
- administrativa
- administratörer
- mot
- Alla
- tillåter
- också
- bland
- an
- analyseras
- och
- Annan
- visas
- Ansökan
- tillämpningar
- ÄR
- AS
- associerad
- At
- attackera
- Attacker
- uppmärksamhet
- Autentisering
- Automatiserad
- tillgänglig
- Badrum
- grundläggande
- I grund och botten
- BE
- därför att
- varit
- började
- BÄST
- företag
- affärsfunktioner
- by
- kallas
- kapacitet
- Vid
- klient
- medgrundare
- samling
- samlingar
- kombinerad
- samfundet
- Företag
- företag
- fullborda
- kompromiss
- Äventyras
- komprometterande
- genomfördes
- kontroller
- skapa
- skapas
- CREDENTIAL
- referenser
- datum
- datauppsättningar
- avdelningar
- beskriva
- utvecklare
- DID
- ladda ner
- ansträngningar
- UPPHÖJA
- aktiverad
- Slutpunkt
- Slutpunktsäkerhet
- tillräckligt
- säkerställa
- Företag
- Hela
- helt
- Miljö
- miljöer
- speciellt
- så småningom
- utbyta
- exekveras
- exfiltrering
- befintliga
- erfaren
- experter
- utpressning
- främja
- Faktum
- fält
- Filer
- Firm
- Förnamn
- Fokus
- För
- från
- funktioner
- Välgörenhet
- god
- bevilja
- beviljats
- Grupp
- Gruppens
- Odling
- Gäst
- hade
- Hälften
- hänt
- Har
- he
- hjälpte
- värd
- värd
- Hur ser din drömresa ut
- http
- HTTPS
- Hundratals
- genomföra
- in
- ingår
- alltmer
- informationen
- informeras
- exempel
- istället
- interagera
- intresse
- Internet
- in
- Investeringar
- isn
- IT
- DESS
- jpg
- bara
- Snäll
- kunskap
- Brist
- Large
- Efternamn
- Förra året
- senaste
- hävstångs
- bibliotek
- log
- ledning
- hanteringsverktyg
- många
- Mars
- mars 1
- mäta
- mekanismer
- UD
- Microsoft
- Mildra
- Modulerna
- månader
- mer
- mest
- rörelse
- mycket
- multipel
- nödvändigt för
- Behöver
- behövs
- behöver
- Nya
- nytt
- nod
- node.js
- nu
- objektet
- erhållande
- förekommande
- of
- sänkt
- on
- ONE
- nätet
- endast
- or
- organisation
- organisationer
- Övriga
- vår
- över
- ägaren
- Betala
- perioden
- behörigheter
- Plats
- plato
- Platon Data Intelligence
- PlatonData
- beredd
- förhindra
- föregående
- primär
- privat
- privilegierat
- privilegier
- Proaktiv
- skydd
- förutsatt
- allmän
- publicly
- sätta
- Ransom
- Ransomware
- Ransomware Attack
- RE
- registreras
- reglerad
- ta bort
- rapport
- Rapporterad
- förfrågningar
- forskare
- Resurser
- svarande
- höger
- Risk
- riskhanterings
- RU
- Ryssland
- s
- SaaS
- Salesforce
- Samma
- säger
- säger
- skript
- Säkrad
- säkerhet
- se
- känslig
- skickas
- service
- uppsättningar
- inställningar
- Dela
- Visar
- liknande
- Enkelt
- eftersom
- webbplats
- Områden
- SEX
- Sex månader
- några
- något
- något
- stjälkar
- misslyckande
- Läsa på
- Framgångsrikt
- targeting
- lag
- Tekniken
- än
- den där
- Smakämnen
- deras
- Dem
- sig själva
- sedan
- Där.
- Dessa
- de
- saker
- detta
- tusentals
- hot
- hotaktörer
- Genom
- till
- verktyg
- Trend
- två
- NAMNLÖS
- användning
- Begagnade
- Användare
- med hjälp av
- vanligen
- mycket
- Victim
- Virtuell
- var
- we
- webb
- webbapplikation
- Vad
- som
- Hela
- med
- inom
- utan
- år
- år
- zephyrnet