Ransomware y OneDrive: los atacantes eliminan las copias de seguridad de la versión

26 de junio de 2022
| No hay comentarios

Compartir publicación

Proofpoint ha descubierto características potencialmente peligrosas de Microsoft Office 365 que los atacantes utilizan para eliminar los archivos de la versión de recuperación almacenados en SharePoint y OneDrive para chantajear a las víctimas más fácilmente. 

Los ataques de ransomware tradicionalmente apuntan a datos a través de puntos finales o unidades de red. Hasta ahora, los equipos de TI y seguridad creían que las unidades en la nube son más resistentes a los ataques de ransomware. Después de todo, la ahora conocida función "Autoguardar", junto con el control de versiones y la antigua papelera de reciclaje para archivos como copia de seguridad, deberían haber sido suficientes. Pero ese podría no ser el caso por mucho más tiempo.

Vulnerabilidad en Microsoft 365 y OneDrive

Proofpoint ha descubierto una función potencialmente peligrosa en Office 365 o Microsoft 365 que permite que el ransomware cifre archivos almacenados en SharePoint y OneDrive de una manera que los hace irrecuperables sin copias de seguridad dedicadas o una clave de descifrado del atacante. La investigación se centró en dos de las aplicaciones en la nube más populares para empresas: SharePoint Online y OneDrive dentro de las suites de Microsoft 365 y Office 365, y muestra que los actores de ransomware ahora se dirigen a los datos corporativos en la nube y lanzan ataques a la infraestructura de la nube.

Cadena de ataques de ransomware en la nube

La cadena de ataque: Proofpoint identificó la cadena de ataque y documentó los siguientes pasos. Una vez ejecutado, el ataque encripta los archivos en las cuentas de los usuarios comprometidos. Al igual que con las actividades de ransomware de punto final, solo se puede acceder a estos archivos mediante claves de descifrado.

Las acciones que se describen a continuación se pueden automatizar mediante las API de Microsoft, los scripts de la interfaz de línea de comandos (CLI) y los scripts de PowerShell.

Diagrama de cadena de ataques de ransomware en la nube. La fase de captura y exfiltración es única en los entornos de Microsoft (Imagen: punto de prueba).

  • Acceso inicial: Los atacantes obtienen acceso a las cuentas de SharePoint Online o OneDrive de uno o más usuarios al comprometer o secuestrar las identidades de los usuarios.
  • Adquisición de cuenta y descubrimiento: El atacante ahora tiene acceso a todos los archivos propiedad del usuario comprometido o controlados por la aplicación OAuth de terceros (que también incluiría la cuenta OneDrive del usuario).
  • colección y exfiltración: Ahora el límite de versiones de los archivos se reduce a un número bajo, p. B. 1 para mantenerlo simple. Luego, el archivo se cifrará más veces que el límite de la versión. Con el límite de ejemplo de 1, el archivo se cifrará dos veces. Este paso es exclusivo del ransomware en la nube en comparación con la cadena de ataque del ransomware basado en endpoints. En algunos casos, el atacante puede exfiltrar los archivos sin cifrar como parte de una táctica de doble chantaje.
  • Monetización: Ahora todas las versiones originales (antes del atacante) de los archivos se pierden, dejando solo las versiones cifradas de cada archivo en la cuenta de la nube. En este punto, el atacante puede exigir un rescate de la organización.

 

Microsoft se niega

Microsoft informó a Proofpoint que las versiones anteriores de los archivos aún se pueden recuperar dentro de los 14 días posteriores a un ataque con la ayuda del Soporte de Microsoft. Sin embargo, Proofpoint probó esto y determinó que la restauración de archivos cifrados de esta manera no funciona. En una publicación de blog, proofpoint analiza el ataque y la configuración en OneDrive, así como en SharePoint con detalles aún más técnicos.

Más en proofpoint.com

 

Acerca de Proofpoint

Proofpoint, Inc. es una empresa líder en ciberseguridad. El enfoque de Proofpoint es la protección de los empleados. Porque estos significan el mayor capital para una empresa, pero también el mayor riesgo. Con un conjunto integrado de soluciones de ciberseguridad basadas en la nube, Proofpoint ayuda a las organizaciones de todo el mundo a detener las amenazas dirigidas, proteger sus datos y educar a los usuarios de TI empresariales sobre los riesgos de los ciberataques.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

Stories
, , , , , ,