Menu dostępności

atak ransomware uderzył w Sharepoint Online bez użycia zainfekowanego endpointa

Na początek tygodnia ciekawostka – atak ransomware uderzył w Sharepoint Online bez użycia zainfekowanego endpointa!

Obsidian, firma zajmująca się cyberbezpieczeństwem, zaobserwowała udany atak ransomware na Sharepoint Online (Microsoft 365), przeprowadzony za pośrednictwem konta administratora Microsoft Global SaaS, a nie – jak to zwykle bywało – poprzez zainfekowany typową drogą punkt końcowy (endpoint).

Atak został dodatkowo przeanalizowany już po włamaniu. Ofiara wykorzystała produkt Obsidian i usługę zespołu badawczego w celu określenia wszystkich, w tym tych mniej oczywistych punktów ataku. Na swoim blogu Obsidian nie ujawnił ofiary, ale założył, że atakującym była grupa znana jako 0mega. Czemu? Bo hakerzy – jak to hakerzy – podpisali się pod swoim „dziełem”. Po wejściu atakujący utworzył nowego użytkownika usługi Active Directory (AD) o nazwie Omega z podwyższonymi uprawnieniami, w tym administratora globalnego, administratora programu SharePoint, administratora programu Exchange i administratora zespołów. Ponadto skorzystał z możliwości administratora zbioru witryn i kolekcji programu Sharepoint. Przestępca usunął również istniejących administratorów (ponad 200) w ciągu dwóch godzin.

Atak ransomware na Sharepoint

Atak obejmował jedynie kradzież plików, bez szyfrowania. Po ich eksfiltracji atakujący przesłał tysiące plików PREVENT-LEAKAGE.txt. Miały one zaalarmować ofiarę o kradzieży i zapewnić możliwość komunikacji z napastnikiem. Oczywiście po to, by negocjować płatność. Okup pozwoliłby uniknąć opublikowania skradzionych danych online.

Obsidian przypuszcza, że może to być początek trendu: „Atakujący poświęcił czas na zbudowanie automatyzacji tego ataku, co sugeruje chęć wykorzystania tej możliwości w przyszłości. Podejrzewamy również, że liczba takich ataków będzie rosnąć, ponieważ niewiele jest firm z silnym programem bezpieczeństwa SaaS, podczas gdy wiele firm inwestuje w produkty zabezpieczające punkty końcowe”.

Ciekawe jest to, że poleganie na samej kradzieży danych, a nie na kradzieży, po której następuje szyfrowanie, to coraz powszechniejsza praktyka. Pozwala uniknąć atakującemu złej reputacji z powodu nieudanych procedur odszyfrowywania i jest łatwiejsze w administrowaniu.

Grupa hakerska 0mega pojawiła się na radarach badaczy bezpieczeństwa w lipcu 2022 r. Wówczas zauważono, że stosowała podwójne wymuszenie (oprogramowanie szyfrujące i kradzież danych), a także prowadziła witrynę z wyciekami, gdzie twierdziła, że w maju 2022 r. 152 GB danych zostało skradzionych firmie naprawiającej elektronikę.

Jeśli Obsidian ma rację, wskazując na 0megę, możemy jeszcze mieć możliwość poznania tożsamości ofiary ataku za pośrednictwem strony wycieku danych, jeśli nie dojdzie do zapłacenia okupu.

Oczywistym morałem z tego ataku jest: „Używajcie MFA” – najlepiej dla wszystkich kont, ale przede wszystkim dla tych o wysokim stopniu uprzywilejowania. Hakerzy mogą uzyskać dane uwierzytelniające z wielu źródeł: z własnego phishingu, zgadywania, z baz w dark necie lub od „brokerów dostępu przestępczego”. Wymóg MFA utrudnia korzystanie ze skradzionych danych uwierzytelniających – ale oczywiście nie uniemożliwia.

„Nawet jeśli konto administracyjne miało włączoną funkcję MFA, osoba atakująca mogła uzyskać hasło lub zapłacić za nie na forum, a następnie przeprowadzić ataki typu push-machine MFA” – stwierdzili badacze.

„Firmy – podsumowuje raport producenta – wydają setki tysięcy, a nawet miliony dolarów na SaaS, aby umożliwić działalność, często powierzając tym aplikacjom regulowane, poufne lub w inny sposób wrażliwe informacje. Chociaż poczyniono znaczące postępy w wykrywaniu zagrożeń dla punktów końcowych, sieci i chmury, wykrywanie zagrożeń SaaS pozostaje obszarem, który wiele firm dopiero zaczyna rozważać”.

Zalecamy zaostrzenie kontroli SaaS, unikanie stosowania nadmiernych przywilejów i odwoływanie nieusankcjonowanych lub obarczonych wysokim ryzykiem integracji. Powyższe działania powinny być realizowane wraz z konsolidacją i analizą odpowiednich logów audytu/aktywności SaaS w celu wykrycia naruszeń, zagrożeń wewnętrznych lub skompromitowanych integracją strony trzeciej.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...