Ataki ransomware tradycyjnie dotyczą danych w punktach końcowych lub na dyskach sieciowych. Do tej pory zespoły bezpieczeństwa uważały, że zasoby w chmurze będą bardziej odporne na ataki ransomware. Znana już funkcja „Autozapis” wraz z wersjonowaniem i starym dobrym koszem na pliki powinny wystarczyć jako kopie zapasowe. Jednak okazało się, że potrzebne są nowe mechanizmy obronne.
Proofpoint odkrył potencjalnie niebezpieczną funkcję w Microsoft 365, która umożliwia oprogramowaniu ransomware szyfrowanie plików przechowywanych na SharePoint i OneDrive w sposób uniemożliwiający ich odzyskanie bez dedykowanych kopii zapasowych lub klucza deszyfrującego od atakującego.
Badanie skupiło się na dwóch najpopularniejszych aplikacjach chmurowych dla przedsiębiorstw — SharePoint Online i OneDrive w ramach pakietów Microsoft 365 i Office 365. Specjalistom z Proofpoint udało się udowodnić, że aktorzy ransomware mogą teraz atakować dane organizacji w chmurze i przeprowadzać ataki na infrastrukturę plików i katalogów znajdujących się na zasobach Microsoftu.
Schemat ataku
Działanie ransomware jest tutaj identyczne jak w popularnych atakach na infrastrukturę firmową. Po udanym dostępie do środowiska atakujący szyfruje pliki na kontach skompromitowanych użytkowników. Podobnie jak w przypadku działania ransomware na punktach końcowych, pliki te można odzyskać tylko za pomocą kluczy deszyfrujących.
Opisane poniżej działania można zautomatyzować za pomocą interfejsów API Microsoft, skryptów wiersza poleceń (CLI) i skryptów PowerShell.
- Dostęp początkowy: Uzyskanie dostępu do konta SharePoint Online lub OneDrive jednego lub większej liczby użytkowników, naruszając lub przejmując jego tożsamość.
- Przejęcie konta i rozeznanie: Atakujący ma teraz dostęp do dowolnego pliku należącego do zaatakowanego użytkownika lub kontrolowanego przez aplikację OAuth innej firmy (która obejmuje również konto OneDrive użytkownika).
- Zbieranie i eksfiltracja: Zmniejszenie limitu wersji plików do niskiej liczby, np. 1. Zaszyfrowanie pliku więcej razy niż ustawiony limit. Z przykładowym limitem równym 1 pliki są szyfrowane dwukrotnie. Ten krok jest unikalny dla oprogramowania ransomware w chmurze w porównaniu z łańcuchem ataków opartym na punktach końcowych. W niektórych przypadkach atakujący może eksfiltrować niezaszyfrowane pliki w ramach taktyki podwójnego wymuszenia.
- Monetyzacja: Teraz wszystkie oryginalne wersje plików są tracone, pozostawiając tylko zaszyfrowane wersje każdego pliku na koncie i w koszu. W tym momencie atakujący może poprosić organizację o okup.
Trochę teorii Microsoft 365
Obiekt typu Lista to składnik webowy infrastruktury Microsoft, który przechowuje zawartość, taką jak na przykład zadania, kalendarze, problemy, zdjęcia, pliki w usłudze SharePoint Online. Konta OneDrive służą z kolei głównie do przechowywania dokumentów.
Biblioteka Dokumentów to termin najczęściej kojarzony z OneDrive. Jest to specjalny typ listy w witrynie SharePoint lub na koncie OneDrive, na którym można przesyłać, tworzyć, aktualizować i współpracować nad dokumentami z członkami zespołu.
Ustawienia wersji list i bibliotek dokumentów znajdują się w ustawieniach list (widoczne na obrazku poniżej). Właśnie ten element jest kluczowy jeśli chodzi o technikę i w ogóle możliwość wykonania takiego ataku.
Mechanizm wersjonowania biblioteki dokumentów
Każda biblioteka dokumentów w SharePoint Online i OneDrive ma konfigurowalne przez użytkownika ustawienie liczby zapisanych wersji. Właściciel witryny może zmienić to ustawienie i nie musi posiadać roli administratora ani powiązanych uprawnień, aby to zrobić. Ustawienia wersji znajdują się w ustawieniach listy dla każdej biblioteki dokumentów.
Zgodnie z założeniem po zmniejszeniu limitu wersji biblioteki dokumentów wszelkie dalsze zmiany w plikach w bibliotece dokumentów spowodują, że przywrócenie starszych wersji będzie bardzo trudne, niemożliwe bez kontaktu ze wsparciem technicznym Microsoft.
Istnieją dwa sposoby na nadużycie mechanizmu wersjonowania– utworzenie zbyt wielu wersji pliku lub zmniejszenie limitów wersji biblioteki dokumentów. Zmiany, które zwiększają wersję pliku, obejmują zmiany w treści dokumentu, nazwie pliku, metadanych pliku i statusie szyfrowania pliku.
Metoda 1, czyli tworzenia zbyt wielu wersji plików działa w następujący sposób:
Większość kont OneDrive ma domyślny limit wersji wynoszący 500. Osoba atakująca może edytować pliki w bibliotece dokumentów 501 razy. Potem oryginalna (przed atakującym) wersja każdego pliku jest starsza niż 501 i dlatego nie można jej już przywrócić.
Organizacje nie mogą samodzielnie przywrócić oryginalnej wersji plików, nawet jeśli próbują zwiększyć limity. W takim przypadku, nawet jeśli limit wersji został zwiększony do 501 lub więcej, plików zapisanych w wersjach 501 lub starszych nie można przywrócić.
Szyfrowanie plików ponad 500 razy przez atakującego jest mało prawdopodobne. Wymaga więcej skryptów i więcej zasobów maszynowych, a jednocześnie ułatwia wykrycie operacji. Następna metoda jest lepsza.
Metoda 2, czyli ograniczania wersjonowania biblioteki dokumentów działa w następujący sposób:
Zmniejszenie przez atakującego liczby wersji biblioteki dokumentów do niskiej, takiej jak 1. Oznacza to, że tylko najnowsza wersja pliku przed zapisaniem ostatniej edycji może zostać przywrócona przez użytkownika.
Wystarczy, że atakujący edytuje każdy plik dwukrotnie — albo przez dwukrotne zaszyfrowanie pliku, albo kombinację szyfrowania, główne zmiany treści i zmiany metadanych pliku. Zapewni to, że organizacja nie będzie mogła przywrócić oryginalnych wersji bez klucza odszyfrowywania od osoby atakującej.
Co możemy z tym zrobić?
Pliki przechowywane w stanie hybrydowym zarówno na punkcie końcowym, jak i w chmurze, na przykład za pośrednictwem folderów synchronizacji w chmurze, zmniejszą wpływ tego nowego ryzyka, ponieważ osoba atakująca nie będzie miała dostępu do plików lokalnych i punktów końcowych. Aby wykonać pełny przepływ okupu, hacker będzie musiał złamać punkt końcowy oraz konto w chmurze.
Oprócz tego warto odnieść się do kilku kwestii opisanych poniżej:
– Natychmiast zwiększ liczbę wersji do przywrócenia dla bibliotek dokumentów, których dotyczy problem, w ustawieniach M365 lub O365.
– Poszukaj wszelkich wcześniejszych alertów dotyczących naruszenia konta lub ryzykownych zmian konfiguracji dla konta usługi Office 365, którego dotyczy problem.
– Poluj na podejrzaną aktywność w aplikacjach innych firm. Jeśli zostaną znalezione, odwołaj tokeny OAuth dla złośliwych lub nieużywanych aplikacji innych firm w środowisku.
– Zidentyfikuj inne ryzykowne wzorce zachowań związane z użytkownikami w chmurze, poczcie e-mail, sieci i punktach końcowych, takie jak zaniedbania w obsłudze wrażliwych danych lub ryzykowne przenoszenie danych.