प्रूफपॉइंट ने संभावित रूप से खतरनाक Microsoft Office 365 सुविधाओं की खोज की है जिनका उपयोग हमलावर अधिक आसानी से पीड़ितों को ब्लैकमेल करने के लिए SharePoint और OneDrive पर संग्रहीत पुनर्प्राप्ति संस्करण फ़ाइलों को हटाने के लिए करते हैं।
रैंसमवेयर पारंपरिक रूप से एंडपॉइंट या नेटवर्क ड्राइव पर डेटा को लक्षित करता है। अब तक, आईटी और सुरक्षा टीमों का मानना है कि क्लाउड ड्राइव रैंसमवेयर हमलों के प्रति अधिक लचीला हैं। आखिरकार, बैकअप के रूप में फ़ाइलों के लिए वर्जनिंग और अच्छे पुराने रीसायकल बिन के साथ-साथ अब जाने-माने "ऑटोसेव" फीचर को पर्याप्त होना चाहिए था। लेकिन हो सकता है कि यह स्थिति ज्यादा दिनों तक न रहे।
Microsoft 365 और OneDrive में भेद्यता
प्रूफपॉइंट ने Office 365 या Microsoft 365 में एक संभावित खतरनाक विशेषता की खोज की है जो रैनसमवेयर को SharePoint और OneDrive पर संग्रहीत फ़ाइलों को इस तरह से एन्क्रिप्ट करने की अनुमति देता है जो समर्पित बैकअप या हमलावर से डिक्रिप्शन कुंजी के बिना उन्हें पुनर्प्राप्त करने योग्य नहीं बनाता है। अनुसंधान व्यवसाय के लिए दो सबसे लोकप्रिय क्लाउड ऐप्स - SharePoint ऑनलाइन और Microsoft 365 और Office 365 सुइट्स के भीतर OneDrive पर केंद्रित है - और दिखाता है कि रैंसमवेयर अभिनेता अब क्लाउड में कॉर्पोरेट डेटा को लक्षित कर रहे हैं और क्लाउड इन्फ्रास्ट्रक्चर पर हमले शुरू कर सकते हैं।
क्लाउड रैंसमवेयर अटैक चेन
द अटैक चेन: प्रूफपॉइंट ने अटैक चेन की पहचान की है और निम्नलिखित चरणों का दस्तावेजीकरण किया है। एक बार निष्पादित होने के बाद, हमला समझौता किए गए उपयोगकर्ताओं के खातों में फ़ाइलों को एन्क्रिप्ट करता है। एंडपॉइंट रैंसमवेयर गतिविधियों की तरह, इन फ़ाइलों को केवल डिक्रिप्शन कुंजी का उपयोग करके ही एक्सेस किया जा सकता है।
नीचे वर्णित कार्रवाइयाँ Microsoft API, कमांड लाइन इंटरफ़ेस (CLI) स्क्रिप्ट और PowerShell स्क्रिप्ट का उपयोग करके स्वचालित की जा सकती हैं।
क्लाउड रैंसमवेयर अटैक चेन आरेख। कैप्चर और एक्सफिल्ट्रेशन चरण Microsoft परिवेशों में अद्वितीय है (चित्र: प्रूफपॉइंट)।
- प्रारंभिक पहुँच: हमलावर उपयोगकर्ताओं की पहचान से समझौता करके या उसका अपहरण करके एक या अधिक उपयोगकर्ताओं के SharePoint Online या OneDrive खातों तक पहुँच प्राप्त करते हैं।
- खाता अधिग्रहण और खोज: हमलावर के पास अब समझौता किए गए उपयोगकर्ता के स्वामित्व वाली या तृतीय-पक्ष OAuth एप्लिकेशन द्वारा नियंत्रित सभी फ़ाइलों तक पहुंच है (जिसमें उपयोगकर्ता का OneDrive खाता भी शामिल होगा)।
- संग्रह और बहिर्वाह: अब फाइलों की वर्जनिंग सीमा को कम संख्या में घटा दिया गया है, उदा। B. 1 इसे सरल रखने के लिए। तब फ़ाइल संस्करण सीमा से अधिक बार एन्क्रिप्ट की जाएगी। 1 की उदाहरण सीमा के साथ, फ़ाइल को दो बार एन्क्रिप्ट किया जाएगा। एंडपॉइंट-आधारित रैंसमवेयर के लिए हमले की श्रृंखला की तुलना में यह कदम क्लाउड रैनसमवेयर के लिए अद्वितीय है। कुछ मामलों में, हमलावर दोहरी ब्लैकमेल रणनीति के हिस्से के रूप में अनएन्क्रिप्टेड फ़ाइलों को एक्सफिल्टर कर सकता है।
- मुद्रीकरण: अब फ़ाइलों के सभी मूल संस्करण (हमलावर से पहले) खो गए हैं, क्लाउड खाते में प्रत्येक फ़ाइल के केवल एन्क्रिप्ट किए गए संस्करणों को छोड़कर। इस बिंदु पर, हमलावर संगठन से फिरौती की मांग कर सकता है।
माइक्रोसॉफ्ट ने मना कर दिया
Microsoft ने प्रूफपॉइंट को सूचित किया कि Microsoft समर्थन की सहायता से फ़ाइलों के पुराने संस्करणों को हमले के 14 दिनों के भीतर अभी भी पुनर्प्राप्त किया जा सकता है। हालाँकि, प्रूफपॉइंट ने इसका परीक्षण किया और निर्धारित किया कि एन्क्रिप्टेड फ़ाइलों को इस तरह से पुनर्स्थापित करना काम नहीं करता है। एक ब्लॉग पोस्ट में, प्रूफपॉइंट वनड्राइव के साथ-साथ शेयरपॉइंट में हमले और सेटिंग्स को और भी अधिक तकनीकी विस्तार से देखता है।
प्रूफपॉइंट डॉट कॉम पर अधिक
प्रूफपॉइंट के बारे में प्रूफपॉइंट, इंक. एक अग्रणी साइबर सुरक्षा कंपनी है। प्रूफपॉइंट का फोकस कर्मचारियों की सुरक्षा है। क्योंकि इनका मतलब किसी कंपनी के लिए सबसे बड़ी पूंजी है, लेकिन सबसे बड़ा जोखिम भी। क्लाउड-आधारित साइबर सुरक्षा समाधानों के एक एकीकृत सूट के साथ, प्रूफपॉइंट दुनिया भर के संगठनों को लक्षित खतरों को रोकने में मदद करता है, उनके डेटा की रक्षा करता है, और एंटरप्राइज़ आईटी उपयोगकर्ताओं को साइबर हमलों के जोखिमों के बारे में शिक्षित करता है।