Групата 0mega ransomware успешно е осъществила атака за изнудване срещу SharePoint Online средата на компания, без да е необходимо да използва компрометирана крайна точка, какъвто е начинът, по който обикновено се осъществяват тези атаки. Вместо това изглежда, че групата за заплахи е използвала слабо защитен администраторски акаунт, за да проникне в средата на неназованата компания, да повиши разрешенията и в крайна сметка да ексфилтрира чувствителни данни от библиотеките на SharePoint на жертвата. Данните са били използвани за изнудване на жертвата да плати откуп.

Вероятно първата по рода си атака

Атаката заслужава внимание, тъй като повечето усилия на предприятията за справяне със заплахата от ransomware са насочени към механизмите за защита на крайните точки, казва Глен Чишолм, съосновател и главен оперативен директор на Obsidian, фирмата за сигурност, която откри атаката.

„Компаниите се опитват да предотвратят или смекчат груповите атаки с ransomware изцяло чрез инвестиции в сигурността на крайните точки“, казва Чишолм. „Тази атака показва, че сигурността на крайните точки не е достатъчна, тъй като много компании вече съхраняват данни и имат достъп до тях в SaaS приложения.“

Атаката, наблюдавана от Obsidian, започва с това, че групата 0mega получава лошо защитено удостоверение за служебен акаунт, принадлежащо на един от глобалните администратори на Microsoft в организацията жертва. Нарушеният акаунт не само е бил достъпен от публичния интернет, но и не е имал активирана многофакторна автентикация (MFA) – нещо, за което повечето експерти по сигурността са съгласни, че е основна необходимост в областта на сигурността, особено за привилегировани акаунти.

Извършителят е използвал компрометирания акаунт, за да създаде потребител на Active Directory, наречен донякъде нагло „0mega“, и след това е предоставил на новия акаунт всички необходими разрешения, за да създаде хаос в средата. Това включва разрешения за глобален администратор, администратор на SharePoint, администратор на Exchange и администратор на Teams. За допълнителна добра мярка извършителят е използвал компрометираното удостоверение за администратор, за да предостави на акаунта 0mega така наречените възможности за администратор на колекции от сайтове в средата SharePoint Online на организацията и да премахне всички други съществуващи администратори.

На езика на SharePoint колекцията от сайтове е група от уебсайтове в рамките на уеб приложение, които споделят административни настройки и имат един и същ собственик. Колекциите от сайтове обикновено са по-често срещани в големи организации с множество бизнес функции и отдели или сред организации с много големи масиви от данни.

При атаката, анализирана от Obsidian, членовете на  0mega са използвали компрометираните администраторски пълномощия, за да премахнат около 200 администраторски акаунта в рамките на два часа.

След това, въоръжен със самостоятелно присвоените привилегии, групата си е помогнала със стотици файлове от библиотеките на SharePoint Online на организацията и ги е изпратила на хост на виртуален частен сървър (VPS), свързан с уеб хостинг компания в Русия. За да улесни ексфилтрацията, бандата е използвала публично достъпен модул на Node.js, наречен „sppull“, който, наред с други неща, позволява на разработчиците да взаимодействат с ресурсите на SharePoint чрез HTTP заявки. Както поддържащите го описват модула, sppull е „прост клиент за изтегляне и сваляне на файлове от SharePoint“.

След като ексфилтрацията е приключила, нападателите са използвали друг модул node.js, наречен „got“, за да качат хиляди текстови файлове в средата на SharePoint на жертвата, които по същество информират организацията за това, което току-що се е случило.

Без компрометиране на крайната точка

Обикновено при атаки, насочени към SaaS приложения, групите, използващи рансъмуер, компрометират крайна точка и след това криптират или екфилтрират файлове, като при необходимост използват страничнофлангово движение, казва Чишолм. „В този случай нападателите са използвали компрометирани идентификационни данни, за да влязат в SharePoint Online, предоставили са административни привилегии на новосъздаден акаунт, след което са автоматизирали ексфилтрацията на данни от този нов акаунт, използвайки скриптове на нает хост, предоставен от VDSinra.ru.“ Извършителят  е изпълнил цялата атака, без да компрометира крайна точка или да използва изпълним софтуер за откуп. „Доколкото ни е известно, това е първият публично регистриран случай на автоматизирано изнудване чрез SaaS ransomware“, казва той.

Чишолм казва, че през последните шест месеца Obsidian е наблюдавала повече атаки, насочени към корпоративни SaaS среди, отколкото през предходните две години, взети заедно. Голяма част от нарастващия интерес на атакуващите се дължи на факта, че организациите все по-често поставят регулирана, поверителна и друга чувствителна информация в SaaS приложения, без да прилагат същия вид контрол, както при технологиите за крайни точки, казва той. „Това е само най-новата техника за заплаха, която виждаме от лошите“, казва той. „Организациите трябва да бъдат подготвени и да гарантират, че разполагат с правилните инструменти за проактивно управление на риска в цялата си SaaS среда.“

Други компании съобщават, че наблюдават подобна тенденция. Според AppOmni само от 1 март 2023 г. насам се наблюдава 300% увеличение на атаките срещу SaaS в Salesforce Community Sites и други SaaS приложения. Основните вектори на атаки са включвали прекомерни разрешения за гостуващи потребители, прекомерни разрешения за обекти и полета, липса на MFA и свръхоправомощен достъп до чувствителни данни. В проучване, проведено от Odaseva миналата година, 48% от анкетираните заявяват, че организацията им е преживяла ransomware атака през предходните 12 месеца, а данните от SaaS са били цел на повече от половината (51%) от атаките.