Obsidian, firma zajmująca się cyberbezpieczeństwem, zaobserwowała udany atak ransomware na Sharepoint Online (Microsoft 365), przeprowadzony za pośrednictwem konta administratora Microsoft Global SaaS, a nie – jak to zwykle bywało – poprzez zainfekowany typową drogą punkt końcowy (endpoint).
Atak został dodatkowo przeanalizowany już po włamaniu. Ofiara wykorzystała produkt Obsidian i usługę zespołu badawczego w celu określenia wszystkich, w tym tych mniej oczywistych punktów ataku. Na swoim blogu Obsidian nie ujawnił ofiary, ale założył, że atakującym była grupa znana jako 0mega. Czemu? Bo hakerzy – jak to hakerzy – podpisali się pod swoim „dziełem”. Po wejściu atakujący utworzył nowego użytkownika usługi Active Directory (AD) o nazwie Omega z podwyższonymi uprawnieniami, w tym administratora globalnego, administratora programu SharePoint, administratora programu Exchange i administratora zespołów. Ponadto skorzystał z możliwości administratora zbioru witryn i kolekcji programu Sharepoint. Przestępca usunął również istniejących administratorów (ponad 200) w ciągu dwóch godzin.
Atak ransomware na Sharepoint
Atak obejmował jedynie kradzież plików, bez szyfrowania. Po ich eksfiltracji atakujący przesłał tysiące plików PREVENT-LEAKAGE.txt. Miały one zaalarmować ofiarę o kradzieży i zapewnić możliwość komunikacji z napastnikiem. Oczywiście po to, by negocjować płatność. Okup pozwoliłby uniknąć opublikowania skradzionych danych online.
Obsidian przypuszcza, że może to być początek trendu: „Atakujący poświęcił czas na zbudowanie automatyzacji tego ataku, co sugeruje chęć wykorzystania tej możliwości w przyszłości. Podejrzewamy również, że liczba takich ataków będzie rosnąć, ponieważ niewiele jest firm z silnym programem bezpieczeństwa SaaS, podczas gdy wiele firm inwestuje w produkty zabezpieczające punkty końcowe”.
Ciekawe jest to, że poleganie na samej kradzieży danych, a nie na kradzieży, po której następuje szyfrowanie, to coraz powszechniejsza praktyka. Pozwala uniknąć atakującemu złej reputacji z powodu nieudanych procedur odszyfrowywania i jest łatwiejsze w administrowaniu.
Grupa hakerska 0mega pojawiła się na radarach badaczy bezpieczeństwa w lipcu 2022 r. Wówczas zauważono, że stosowała podwójne wymuszenie (oprogramowanie szyfrujące i kradzież danych), a także prowadziła witrynę z wyciekami, gdzie twierdziła, że w maju 2022 r. 152 GB danych zostało skradzionych firmie naprawiającej elektronikę.
Jeśli Obsidian ma rację, wskazując na 0megę, możemy jeszcze mieć możliwość poznania tożsamości ofiary ataku za pośrednictwem strony wycieku danych, jeśli nie dojdzie do zapłacenia okupu.
Oczywistym morałem z tego ataku jest: „Używajcie MFA” – najlepiej dla wszystkich kont, ale przede wszystkim dla tych o wysokim stopniu uprzywilejowania. Hakerzy mogą uzyskać dane uwierzytelniające z wielu źródeł: z własnego phishingu, zgadywania, z baz w dark necie lub od „brokerów dostępu przestępczego”. Wymóg MFA utrudnia korzystanie ze skradzionych danych uwierzytelniających – ale oczywiście nie uniemożliwia.
„Nawet jeśli konto administracyjne miało włączoną funkcję MFA, osoba atakująca mogła uzyskać hasło lub zapłacić za nie na forum, a następnie przeprowadzić ataki typu push-machine MFA” – stwierdzili badacze.
„Firmy – podsumowuje raport producenta – wydają setki tysięcy, a nawet miliony dolarów na SaaS, aby umożliwić działalność, często powierzając tym aplikacjom regulowane, poufne lub w inny sposób wrażliwe informacje. Chociaż poczyniono znaczące postępy w wykrywaniu zagrożeń dla punktów końcowych, sieci i chmury, wykrywanie zagrożeń SaaS pozostaje obszarem, który wiele firm dopiero zaczyna rozważać”.
Zalecamy zaostrzenie kontroli SaaS, unikanie stosowania nadmiernych przywilejów i odwoływanie nieusankcjonowanych lub obarczonych wysokim ryzykiem integracji. Powyższe działania powinny być realizowane wraz z konsolidacją i analizą odpowiednich logów audytu/aktywności SaaS w celu wykrycia naruszeń, zagrożeń wewnętrznych lub skompromitowanych integracją strony trzeciej.