Търсене
Close this search box.

Първи случай на автоматизирано изнудване с рансъмуер за SaaS

Групата 0mega ransomware успешно е осъществила атака за изнудване срещу SharePoint Online средата на компания, без да е необходимо да използва компрометирана крайна точка, какъвто е начинът, по който обикновено се осъществяват тези атаки. Вместо това изглежда, че групата за заплахи е използвала слабо защитен администраторски акаунт, за да проникне в средата на неназованата компания, да повиши разрешенията и в крайна сметка да ексфилтрира чувствителни данни от библиотеките на SharePoint на жертвата. Данните са били използвани за изнудване на жертвата да плати откуп.

Вероятно първата по рода си атака

Атаката заслужава внимание, тъй като повечето усилия на предприятията за справяне със заплахата от ransomware са насочени към механизмите за защита на крайните точки, казва Глен Чишолм, съосновател и главен оперативен директор на Obsidian, фирмата за сигурност, която откри атаката.

„Компаниите се опитват да предотвратят или смекчат груповите атаки с ransomware изцяло чрез инвестиции в сигурността на крайните точки“, казва Чишолм. „Тази атака показва, че сигурността на крайните точки не е достатъчна, тъй като много компании вече съхраняват данни и имат достъп до тях в SaaS приложения.“

Атаката, наблюдавана от Obsidian, започва с това, че групата 0mega получава лошо защитено удостоверение за служебен акаунт, принадлежащо на един от глобалните администратори на Microsoft в организацията жертва. Нарушеният акаунт не само е бил достъпен от публичния интернет, но и не е имал активирана многофакторна автентикация (MFA) – нещо, за което повечето експерти по сигурността са съгласни, че е основна необходимост в областта на сигурността, особено за привилегировани акаунти.

Извършителят е използвал компрометирания акаунт, за да създаде потребител на Active Directory, наречен донякъде нагло „0mega“, и след това е предоставил на новия акаунт всички необходими разрешения, за да създаде хаос в средата. Това включва разрешения за глобален администратор, администратор на SharePoint, администратор на Exchange и администратор на Teams. За допълнителна добра мярка извършителят е използвал компрометираното удостоверение за администратор, за да предостави на акаунта 0mega така наречените възможности за администратор на колекции от сайтове в средата SharePoint Online на организацията и да премахне всички други съществуващи администратори.

На езика на SharePoint колекцията от сайтове е група от уебсайтове в рамките на уеб приложение, които споделят административни настройки и имат един и същ собственик. Колекциите от сайтове обикновено са по-често срещани в големи организации с множество бизнес функции и отдели или сред организации с много големи масиви от данни.

При атаката, анализирана от Obsidian, членовете на  0mega са използвали компрометираните администраторски пълномощия, за да премахнат около 200 администраторски акаунта в рамките на два часа.

След това, въоръжен със самостоятелно присвоените привилегии, групата си е помогнала със стотици файлове от библиотеките на SharePoint Online на организацията и ги е изпратила на хост на виртуален частен сървър (VPS), свързан с уеб хостинг компания в Русия. За да улесни ексфилтрацията, бандата е използвала публично достъпен модул на Node.js, наречен „sppull“, който, наред с други неща, позволява на разработчиците да взаимодействат с ресурсите на SharePoint чрез HTTP заявки. Както поддържащите го описват модула, sppull е „прост клиент за изтегляне и сваляне на файлове от SharePoint“.

След като ексфилтрацията е приключила, нападателите са използвали друг модул node.js, наречен „got“, за да качат хиляди текстови файлове в средата на SharePoint на жертвата, които по същество информират организацията за това, което току-що се е случило.

Без компрометиране на крайната точка

Обикновено при атаки, насочени към SaaS приложения, групите, използващи рансъмуер, компрометират крайна точка и след това криптират или екфилтрират файлове, като при необходимост използват страничнофлангово движение, казва Чишолм. „В този случай нападателите са използвали компрометирани идентификационни данни, за да влязат в SharePoint Online, предоставили са административни привилегии на новосъздаден акаунт, след което са автоматизирали ексфилтрацията на данни от този нов акаунт, използвайки скриптове на нает хост, предоставен от VDSinra.ru.“ Извършителят  е изпълнил цялата атака, без да компрометира крайна точка или да използва изпълним софтуер за откуп. „Доколкото ни е известно, това е първият публично регистриран случай на автоматизирано изнудване чрез SaaS ransomware“, казва той.

Чишолм казва, че през последните шест месеца Obsidian е наблюдавала повече атаки, насочени към корпоративни SaaS среди, отколкото през предходните две години, взети заедно. Голяма част от нарастващия интерес на атакуващите се дължи на факта, че организациите все по-често поставят регулирана, поверителна и друга чувствителна информация в SaaS приложения, без да прилагат същия вид контрол, както при технологиите за крайни точки, казва той. „Това е само най-новата техника за заплаха, която виждаме от лошите“, казва той. „Организациите трябва да бъдат подготвени и да гарантират, че разполагат с правилните инструменти за проактивно управление на риска в цялата си SaaS среда.“

Други компании съобщават, че наблюдават подобна тенденция. Според AppOmni само от 1 март 2023 г. насам се наблюдава 300% увеличение на атаките срещу SaaS в Salesforce Community Sites и други SaaS приложения. Основните вектори на атаки са включвали прекомерни разрешения за гостуващи потребители, прекомерни разрешения за обекти и полета, липса на MFA и свръхоправомощен достъп до чувствителни данни. В проучване, проведено от Odaseva миналата година, 48% от анкетираните заявяват, че организацията им е преживяла ransomware атака през предходните 12 месеца, а данните от SaaS са били цел на повече от половината (51%) от атаките.

Източник: DARKReading

Подобни публикации

28 февруари 2024

Китай стартира нов план за киберзащита на индус...

Тази седмица Министерството на промишлеността и информационните тех...
28 февруари 2024

Уязвимостта на плъгина WordPress LiteSpeed изла...

В плъгина LiteSpeed Cache за WordPress е разкрита уязвимост в сигур...
28 февруари 2024

Xeno RAT се превръща в мощна заплаха в GitHub

В GitHub е публикуван „сложно проектиран“ троянски кон ...
28 февруари 2024

Хакването на Optum е свързано с рансъмуера Blac...

Кибератаката срещу дъщерното дружество на UnitedHealth Group Optum,...
28 февруари 2024

Новата версия на IDAT loader използва стеганогр...

Хакерска група, проследена като „UAC-0184“, е забелязан...
28 февруари 2024

DOOM идва в интелигентните косачки Husqvarna

Ако някога сте искали да играете DOOM на косачка за трева, скоро ще...
28 февруари 2024

Белият дом призовава да се премине към езици за...

Службата на националния кибердиректор на Белия дом (ONCD) призова д...
Бъдете социални
Още по темата
28/02/2024

Белият дом призовава да се ...

Службата на националния кибердиректор на Белия...
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

САЩ и НАТО: Руските хакери ...

Членовете на разузнавателния алианс „Пет очи“...
Последно добавени
28/02/2024

Китай стартира нов план за ...

Тази седмица Министерството на промишлеността и...
28/02/2024

Уязвимостта на плъгина Word...

В плъгина LiteSpeed Cache за WordPress...
28/02/2024

Xeno RAT се превръща в мощ...

В GitHub е публикуван „сложно проектиран“...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!