Nhóm ransomware 0mega đã thực hiện thành công một cuộc tấn công tống tiền nhằm vào môi trường SharePoint Online của công ty mà không cần sử dụng điểm cuối bị xâm phạm, đây là cách các cuộc tấn công này thường diễn ra. Thay vào đó, nhóm đe dọa dường như đã sử dụng tài khoản quản trị viên được bảo mật yếu để xâm nhập vào môi trường của công ty giấu tên, nâng cao quyền và cuối cùng lấy cắp dữ liệu nhạy cảm từ thư viện SharePoint của nạn nhân. Dữ liệu được sử dụng để tống tiền nạn nhân để trả tiền chuộc.
Có khả năng là cuộc tấn công đầu tiên
Glenn Chisholm, đồng sáng lập và CPO tại Obsidian, công ty bảo mật cho biết, cuộc tấn công đáng chú ý vì hầu hết các nỗ lực của doanh nghiệp nhằm giải quyết mối đe dọa ransomware có xu hướng tập trung vào các cơ chế bảo vệ điểm cuối. phát hiện cuộc tấn công.
Chisholm cho biết: “Các công ty đã cố gắng ngăn chặn hoặc giảm thiểu hoàn toàn các cuộc tấn công của nhóm ransomware thông qua đầu tư vào bảo mật điểm cuối”. “Cuộc tấn công này cho thấy bảo mật điểm cuối là chưa đủ vì nhiều công ty hiện đang lưu trữ và truy cập dữ liệu trong các ứng dụng SaaS.”
Cuộc tấn công mà Obsidian quan sát bắt đầu bằng việc một thành viên nhóm 0mega có được thông tin xác thực tài khoản dịch vụ được bảo mật kém thuộc về một trong những quản trị viên Microsoft Global của tổ chức nạn nhân. Tài khoản bị vi phạm không chỉ có thể truy cập được từ Internet công cộng mà còn không được kích hoạt xác thực đa yếu tố (MFA) - điều mà hầu hết các chuyên gia bảo mật đều đồng ý là cần thiết về bảo mật cơ bản, đặc biệt đối với các tài khoản đặc quyền.
Kẻ đe dọa đã sử dụng tài khoản bị xâm nhập để tạo một người dùng Active Directory - hơi trắng trợn - được gọi là “0mega” và sau đó tiến hành cấp cho tài khoản mới tất cả các quyền cần thiết để tạo ra sự tàn phá trong môi trường. Những quyền này bao gồm quyền trở thành Quản trị viên toàn cầu, Quản trị viên SharePoint, Quản trị viên Exchange và Quản trị viên nhóm. Để có biện pháp tốt hơn, kẻ tấn công đã sử dụng thông tin xác thực của quản trị viên bị xâm phạm để cấp cho tài khoản 0mega khả năng quản trị viên thu thập trang trong môi trường SharePoint Online của tổ chức và xóa tất cả các quản trị viên hiện có khác.
Trong SharePoint-speak, một tuyển tập trang web là một nhóm các trang web trong một ứng dụng Web chia sẻ cài đặt quản trị và có cùng chủ sở hữu. Bộ sưu tập trang web có xu hướng phổ biến hơn trong các tổ chức lớn có nhiều chức năng và phòng ban kinh doanh hoặc giữa các tổ chức có tập dữ liệu rất lớn.
Trong cuộc tấn công mà Obsidian phân tích, kẻ tấn công 0mega đã sử dụng thông tin đăng nhập của quản trị viên bị xâm phạm để xóa khoảng 200 tài khoản quản trị viên trong khoảng thời gian hai giờ.
Được trang bị các đặc quyền tự gán, kẻ tấn công sau đó tự lấy hàng trăm tệp từ thư viện SharePoint Online của tổ chức và gửi chúng đến máy chủ máy chủ riêng ảo (VPS) được liên kết với một công ty lưu trữ web ở Nga. Để tạo điều kiện thuận lợi cho việc lọc, kẻ tấn công đã sử dụng mô-đun Node.js có sẵn công khai có tên là “sppull”, cho phép các nhà phát triển tương tác với tài nguyên SharePoint bằng các yêu cầu HTTP. Như những người bảo trì mô tả về mô-đun này, sppull là một “ứng dụng khách đơn giản để lấy và tải xuống các tệp từ SharePoint”.
Sau khi quá trình trích xuất hoàn tất, những kẻ tấn công đã sử dụng một mô-đun node.js khác có tên là “có” để tải hàng nghìn tệp văn bản lên môi trường SharePoint của nạn nhân nhằm thông báo cơ bản cho tổ chức về những gì vừa xảy ra.
Không thỏa hiệp điểm cuối
Chisholm cho biết, thông thường, trong các cuộc tấn công nhắm vào các ứng dụng SaaS, các nhóm ransomware sẽ xâm phạm điểm cuối, sau đó mã hóa hoặc trích xuất các tệp, tận dụng chuyển động ngang nếu cần thiết. “Trong trường hợp này, những kẻ tấn công đã sử dụng thông tin xác thực bị xâm phạm để đăng nhập vào SharePoint Online được cấp đặc quyền quản trị cho một tài khoản mới tạo, sau đó tự động trích xuất dữ liệu từ tài khoản mới đó bằng cách sử dụng tập lệnh trên máy chủ thuê do VDSinra.ru cung cấp.” Tác nhân đe dọa đã thực hiện toàn bộ cuộc tấn công mà không ảnh hưởng đến điểm cuối hoặc sử dụng tệp thực thi ransomware. Ông nói: “Theo hiểu biết tốt nhất của chúng tôi, đây là trường hợp tống tiền SaaS tự động đầu tiên được ghi nhận công khai”.
Chisholm cho biết Obsidian đã quan sát thấy nhiều cuộc tấn công nhắm vào môi trường SaaS của doanh nghiệp trong sáu tháng qua hơn so với hai năm trước đó cộng lại. Ông cho biết, phần lớn sự quan tâm ngày càng tăng của kẻ tấn công bắt nguồn từ thực tế là các tổ chức đang ngày càng đưa thông tin được quản lý, bí mật và thông tin nhạy cảm khác vào các ứng dụng SaaS mà không thực hiện cùng loại biện pháp kiểm soát như trên các công nghệ điểm cuối. Ông nói: “Đây chỉ là kỹ thuật đe dọa mới nhất mà chúng tôi thấy từ những kẻ xấu. “Các tổ chức cần phải chuẩn bị và đảm bảo họ có sẵn các công cụ quản lý rủi ro chủ động phù hợp trên toàn bộ môi trường SaaS của mình.”
Những người khác đã báo cáo quan sát một xu hướng tương tự. Theo AppOmni đã có một Các cuộc tấn công SaaS tăng 300% ngay từ ngày 1 tháng 2023 năm 48 trên Trang web cộng đồng Salesforce và các ứng dụng SaaS khác. Các vectơ tấn công chính bao gồm quá nhiều quyền của người dùng khách, quá nhiều quyền đối với trường và đối tượng, thiếu MFA và quyền truy cập quá mức vào dữ liệu nhạy cảm. Một nghiên cứu mà Odaseva thực hiện năm ngoái có 12% số người được hỏi cho biết tổ chức của họ đã trải qua một cuộc tấn công bằng ransomware trong XNUMX tháng trước đó và Dữ liệu SaaS là mục tiêu trong hơn một nửa (51%) các cuộc tấn công.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- EVM tài chính. Giao diện hợp nhất cho tài chính phi tập trung. Truy cập Tại đây.
- Tập đoàn truyền thông lượng tử. Khuếch đại IR/PR. Truy cập Tại đây.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cloud/researchers-report-first-instance-of-automated-saas-ransomware-extortion
- : có
- :là
- :không phải
- 1
- 12
- 12 tháng
- 200
- 2023
- 7
- a
- truy cập
- có thể truy cập
- truy cập
- Theo
- Tài khoản
- Trợ Lý Giám Đốc
- ngang qua
- hoạt động
- diễn viên
- thêm vào
- địa chỉ
- quản trị viên
- hành chính
- quản trị
- chống lại
- Tất cả
- cho phép
- Ngoài ra
- trong số
- an
- phân tích
- và
- Một
- xuất hiện
- Các Ứng Dụng
- các ứng dụng
- LÀ
- AS
- liên kết
- At
- tấn công
- Các cuộc tấn công
- sự chú ý
- Xác thực
- Tự động
- có sẵn
- Bad
- cơ bản
- Về cơ bản
- BE
- bởi vì
- được
- bắt đầu
- BEST
- kinh doanh
- chức năng kinh doanh
- by
- gọi là
- khả năng
- trường hợp
- khách hàng
- đồng sáng lập
- bộ sưu tập
- bộ sưu tập
- kết hợp
- cộng đồng
- Các công ty
- công ty
- hoàn thành
- thỏa hiệp
- Thỏa hiệp
- ảnh hưởng
- thực hiện
- điều khiển
- tạo
- tạo ra
- CHỨNG CHỈ
- Credentials
- dữ liệu
- bộ dữ liệu
- phòng ban
- mô tả
- phát triển
- ĐÃ LÀM
- tải về
- những nỗ lực
- NÂNG
- kích hoạt
- Điểm cuối
- An ninh điểm cuối
- đủ
- đảm bảo
- Doanh nghiệp
- Toàn bộ
- hoàn toàn
- Môi trường
- môi trường
- đặc biệt
- cuối cùng
- Sàn giao dịch
- Thực thi
- sự lọc ra
- hiện tại
- kinh nghiệm
- các chuyên gia
- tống tiền
- tạo điều kiện
- thực tế
- lĩnh vực
- Các tập tin
- Công ty
- Tên
- Tập trung
- Trong
- từ
- chức năng
- Toàn cầu
- tốt
- cấp
- cấp
- Nhóm
- Các nhóm
- Phát triển
- Khách
- có
- Một nửa
- đã xảy ra
- Có
- he
- đã giúp
- chủ nhà
- lưu trữ
- Độ đáng tin của
- http
- HTTPS
- Hàng trăm
- thực hiện
- in
- bao gồm
- lên
- thông tin
- thông báo
- ví dụ
- thay vì
- tương tác
- quan tâm
- Internet
- trong
- Đầu Tư
- isn
- IT
- ITS
- jpg
- chỉ
- Loại
- kiến thức
- Thiếu sót
- lớn
- Họ
- Năm ngoái
- mới nhất
- tận dụng
- thư viện
- đăng nhập
- quản lý
- Công cụ quản lý
- nhiều
- Tháng Ba
- tháng 1
- đo
- cơ chế
- MFA
- microsoft
- Giảm nhẹ
- Mô-đun
- tháng
- chi tiết
- hầu hết
- phong trào
- nhiều
- nhiều
- cần thiết
- Cần
- cần thiết
- cần
- Mới
- mới
- nút
- Node.js
- tại
- vật
- có được
- xảy ra
- of
- off
- on
- ONE
- Trực tuyến
- có thể
- or
- cơ quan
- tổ chức
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- kết thúc
- chủ sở hữu
- Trả
- thời gian
- quyền
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- chuẩn bị
- ngăn chặn
- trước
- chính
- riêng
- đặc quyền đặc lợi
- đặc quyền
- Chủ động
- bảo vệ
- cung cấp
- công khai
- công khai
- Đặt
- Đòi tiền chuộc
- ransomware
- Tấn công Ransomware
- RE
- ghi lại
- quy định
- tẩy
- báo cáo
- Báo cáo
- yêu cầu
- nhà nghiên cứu
- Thông tin
- người trả lời
- ngay
- Nguy cơ
- quản lý rủi ro
- RU
- Nga
- s
- SaaS
- lực lượng bán hàng
- tương tự
- nói
- nói
- kịch bản
- Bảo mật
- an ninh
- nhìn thấy
- nhạy cảm
- gởi
- dịch vụ
- bộ
- thiết lập
- Chia sẻ
- Chương trình
- tương tự
- Đơn giản
- kể từ khi
- website
- Các trang web
- Six
- Sáu tháng
- một số
- một cái gì đó
- phần nào
- thân cây
- lưu trữ
- Học tập
- Thành công
- nhắm mục tiêu
- đội
- Công nghệ
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- tự
- sau đó
- Đó
- Kia là
- họ
- điều
- điều này
- hàng ngàn
- mối đe dọa
- diễn viên đe dọa
- Thông qua
- đến
- công cụ
- khuynh hướng
- hai
- VÔ DANH
- sử dụng
- đã sử dụng
- người sử dang
- sử dụng
- thường
- rất
- nạn nhân
- ảo
- là
- we
- web
- Ứng dụng web
- Điều gì
- cái nào
- toàn bộ
- với
- ở trong
- không có
- năm
- năm
- zephyrnet