Група програм-вимагачів 0mega успішно здійснила атаку здирництва на середовище компанії SharePoint Online без необхідності використання скомпрометованої кінцевої точки, як зазвичай розгортаються ці атаки. Натомість група загроз, схоже, використовувала слабко захищений обліковий запис адміністратора, щоб проникнути в середовище неназваної компанії, підвищити дозволи та, зрештою, вилучити конфіденційні дані з бібліотек SharePoint жертви. Дані використовувалися для вимагання від жертви викупу.
Ймовірно, перша атака такого роду
Атака заслуговує на увагу, оскільки більшість зусиль підприємств, спрямованих на боротьбу з загрозою програм-вимагачів, як правило, зосереджені на механізмах захисту кінцевих точок, каже Гленн Чізголм, співзасновник і CPO в Obsidian, фірмі безпеки, яка виявив напад.
«Компанії намагаються запобігти або пом’якшити групові атаки програм-вимагачів виключно за допомогою інвестицій у безпеку кінцевих точок», — каже Чісхолм. «Ця атака показує, що безпеки кінцевої точки недостатньо, оскільки зараз багато компаній зберігають і отримують доступ до даних у програмах SaaS».
Атака, яку спостерігав Obsidian, почалася з того, що учасник групи 0mega отримав облікові дані погано захищеного сервісного облікового запису, що належить одному з глобальних адміністраторів Microsoft глобальної організації. Зламаний обліковий запис не лише був доступний із загальнодоступного Інтернету, але й не мав увімкненої багатофакторної автентифікації (MFA) — те, що більшість експертів із безпеки погоджується, є базовою необхідністю безпеки, особливо для привілейованих облікових записів.
Зловмисник використав скомпрометований обліковий запис, щоб створити користувача Active Directory — дещо нахабно — під назвою «0mega», а потім надав новому обліковому запису всі дозволи, необхідні для створення хаосу в середовищі. Це включало дозволи бути глобальним адміністратором, адміністратором SharePoint, адміністратором Exchange і адміністратором груп. Для додаткового заходу зловмисник використав скомпрометовані облікові дані адміністратора, щоб надати обліковому запису 0mega так звані можливості адміністратора колекції сайтів у середовищі SharePoint Online організації та видалити всіх інших існуючих адміністраторів.
На мові SharePoint a колекція сайтів – це група веб-сайтів у веб-програмі, які мають спільні адміністративні налаштування та мають одного власника. Колекції сайтів як правило, є більш поширеними у великих організаціях із кількома бізнес-функціями та відділами або серед організацій із дуже великими наборами даних.
Під час атаки, яку проаналізував Obsidian, зловмисники 0mega використовували скомпрометовані облікові дані адміністратора, щоб видалити близько 200 облікових записів адміністратора протягом двох годин.
Озброївшись самостійно призначеними привілеями, зловмисник потім допоміг собі отримати сотні файлів із бібліотек SharePoint Online організації та відправив їх на віртуальний приватний сервер (VPS), пов’язаний з компанією веб-хостингу в Росії. Щоб полегшити викрадання, зловмисник використав загальнодоступний модуль Node.js під назвою «sppull», який, серед іншого, дозволяє розробникам взаємодіяти з ресурсами SharePoint за допомогою HTTP-запитів. Як описують модуль супроводжувачі, sppull — це «простий клієнт для отримання та завантаження файлів із SharePoint».
Після завершення вилучення зловмисники використали інший модуль node.js під назвою «є», щоб завантажити тисячі текстових файлів у середовище SharePoint жертви, які фактично повідомили організацію про те, що щойно сталося.
Без компромісу кінцевої точки
Зазвичай під час атак, націлених на додатки SaaS, групи програм-вимагачів компрометують кінцеву точку, а потім шифрують або викрадають файли, за потреби використовуючи бічний рух, каже Чісхолм. «У цьому випадку зловмисники використали скомпрометовані облікові дані для входу в SharePoint Online, надавши адміністративні привілеї новоствореному обліковому запису, а потім автоматизували викрадання даних із цього нового облікового запису за допомогою сценаріїв на орендованому хості, наданому VDSinra.ru». Зловмисник здійснив всю атаку без шкоди для кінцевої точки чи використання виконуваного файлу програми-вимагача. «Наскільки нам відомо, це перший публічно зафіксований випадок автоматизованого вимагання програм-вимагачів SaaS», — говорить він.
Чісхолм каже, що за останні шість місяців Obsidian спостерігав більше атак на корпоративні середовища SaaS, ніж за попередні два роки разом узяті. Значна частина зростаючого інтересу зловмисників пов’язана з тим фактом, що організації все частіше розміщують регламентовану, конфіденційну та іншу конфіденційну інформацію в додатках SaaS, не впроваджуючи той самий контроль, який вони застосовують для технологій кінцевих точок, каже він. «Це лише остання техніка загроз, яку ми бачимо від поганих акторів», — каже він. «Організації повинні бути готові та переконатися, що вони мають правильні інструменти проактивного управління ризиками в усьому середовищі SaaS».
Інші повідомили, що спостерігають подібну тенденцію. Відповідно до AppOmni було a Зростання SaaS-атак на 300%. лише з 1 березня 2023 року на сайтах спільноти Salesforce та в інших програмах SaaS. Основні вектори атак включали надмірні дозволи гостьового користувача, надмірні дозволи на об’єкти та поля, відсутність MFA та надлишковий доступ до конфіденційних даних. У дослідженні, проведеному Одасевою минулого року, 48% респондентів сказали, що їхня організація зазнала атаки програм-вимагачів протягом останніх 12 місяців і Метою були дані SaaS у більш ніж половині (51%) нападів.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- EVM Фінанси. Уніфікований інтерфейс для децентралізованих фінансів. Доступ тут.
- Quantum Media Group. ІЧ/ПР посилений. Доступ тут.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- джерело: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- : має
- :є
- : ні
- 1
- 12
- 12 місяців
- 200
- 2023
- 7
- a
- доступ
- доступною
- доступ до
- За
- рахунки
- Рахунки
- через
- активний
- актори
- Додатковий
- адреса
- адмін
- адміністративний
- Адміністратори
- проти
- ВСІ
- дозволяє
- Також
- серед
- an
- проаналізовані
- та
- Інший
- з'являється
- додаток
- застосування
- ЕСТЬ
- AS
- асоційований
- At
- атака
- нападки
- увагу
- Authentication
- Автоматизований
- доступний
- поганий
- основний
- В основному
- BE
- оскільки
- було
- почалася
- КРАЩЕ
- бізнес
- господарська діяльність
- by
- званий
- можливості
- випадок
- клієнт
- співзасновник
- збір
- Колекції
- комбінований
- співтовариство
- Компанії
- компанія
- повний
- компроміс
- Компрометація
- компрометуючі
- проводиться
- управління
- створювати
- створений
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- дані
- набори даних
- відомства
- описувати
- розробників
- DID
- скачати
- зусилля
- ПОВЕРНЕНО
- включений
- Кінцева точка
- Захист кінцевої точки
- досить
- забезпечувати
- підприємство
- Весь
- повністю
- Навколишнє середовище
- середовищах
- особливо
- врешті-решт
- обмін
- виконано
- ексфільтрація
- існуючий
- досвідчений
- experts
- вимагання
- фасилітувати
- факт
- поле
- Файли
- Фірма
- Перший
- Сфокусувати
- для
- від
- Функції
- Глобальний
- добре
- надавати
- надається
- Group
- Групи
- Зростання
- гість
- було
- Половина
- сталося
- Мати
- he
- допоміг
- господар
- хостинг
- Як
- HTTP
- HTTPS
- Сотні
- реалізації
- in
- включені
- все більше і більше
- інформація
- повідомив
- екземпляр
- замість
- взаємодіяти
- інтерес
- інтернет
- в
- інвестиції
- isn
- IT
- ЙОГО
- JPG
- просто
- Дитина
- знання
- відсутність
- великий
- останній
- Минулого року
- останній
- використання
- libraries
- журнал
- управління
- Інструменти управління
- багато
- березня
- березня 1
- вимір
- механізми
- МЗС
- Microsoft
- Пом'якшити
- Модулі
- місяців
- більше
- найбільш
- руху
- багато
- множинний
- необхідно
- Необхідність
- необхідний
- нужденних
- Нові
- нещодавно
- вузол
- Node.js
- зараз
- об'єкт
- отримання
- трапляються
- of
- від
- on
- ONE
- онлайн
- тільки
- or
- організація
- організації
- Інше
- наші
- над
- власник
- Платити
- period
- Дозволи
- місце
- plato
- Інформація про дані Платона
- PlatoData
- підготовлений
- запобігати
- попередній
- первинний
- приватний
- привілейовані
- привілеї
- Проактивний
- захист
- за умови
- громадськість
- публічно
- Поклавши
- Викуп
- вимагачів
- Вимагальна програма
- RE
- записаний
- регулюється
- видаляти
- звітом
- Повідомляється
- запитів
- Дослідники
- ресурси
- респонденти
- право
- Risk
- управління ризиками
- RU
- Росія
- s
- SaaS
- Salesforce
- то ж
- приказка
- говорить
- scripts
- Забезпечений
- безпеку
- бачачи
- чутливий
- посланий
- обслуговування
- набори
- налаштування
- Поділитись
- Шоу
- аналогічний
- простий
- з
- сайт
- сайти
- SIX
- Шість місяців
- деякі
- що в сім'ї щось
- кілька
- стебла
- зберігання
- Вивчення
- Успішно
- націлювання
- команди
- Технології
- ніж
- Що
- Команда
- їх
- Їх
- самі
- потім
- Там.
- Ці
- вони
- речі
- це
- тисячі
- загроза
- актори загроз
- через
- до
- інструменти
- Trend
- два
- БЕЗ ІМЕНИ
- використання
- використовуваний
- користувач
- використання
- зазвичай
- дуже
- Жертва
- Віртуальний
- було
- we
- Web
- Веб-додаток
- Що
- який
- всі
- з
- в
- без
- рік
- років
- зефірнет