ランサムウェアと OneDrive: 攻撃者がバージョンのバックアップを削除

26。 6月2022
| コメントはありません

投稿を共有する

Proofpoint は、潜在的に危険な Microsoft Office 365 の機能を発見しました。攻撃者は、被害者をより簡単に恐喝するために、SharePoint および OneDrive に保存されている回復バージョンのファイルを削除するために使用します。 

ランサムウェア攻撃は、従来、エンドポイントまたはネットワーク ドライブ全体のデータを標的にしていました。 これまで、IT およびセキュリティ チームは、クラウド ドライブはランサムウェア攻撃に対してより回復力があると信じていました。 結局のところ、今ではよく知られている「自動保存」機能と、バージョン管理およびファイルのバックアップとしての古き良きごみ箱で十分だったはずです。 しかし、そう長くは続かないかもしれません。

Microsoft 365 および OneDrive の脆弱性

Proofpoint は、Office 365 または Microsoft 365 に潜在的に危険な機能を発見しました。これにより、ランサムウェアが SharePoint および OneDrive に保存されているファイルを暗号化し、専用のバックアップまたは攻撃者からの復号化キーなしでは復元できなくなります。 この調査は、ビジネス向けの最も人気のある 365 つのクラウド アプリ (Microsoft 365 および Office XNUMX スイート内の SharePoint Online と OneDrive) に焦点を当てており、ランサムウェアのアクターが現在、クラウド内の企業データを標的にして、クラウド インフラストラクチャへの攻撃を開始していることを示しています。

クラウド ランサムウェア攻撃チェーン

攻撃チェーン: Proofpoint は攻撃チェーンを特定し、次の手順を文書化しました。 攻撃が実行されると、侵害されたユーザーのアカウント内のファイルが暗号化されます。 エンドポイント ランサムウェア アクティビティと同様に、これらのファイルには復号化キーを使用してのみアクセスできます。

以下で説明するアクションは、Microsoft API、コマンド ライン インターフェイス (CLI) スクリプト、および PowerShell スクリプトを使用して自動化できます。

クラウド ランサムウェアの攻撃チェーン図。 キャプチャと抽出のフェーズは、Microsoft 環境では独特です (画像: 証拠)。

  • 初期アクセス: 攻撃者は、ユーザーの ID を侵害または乗っ取ることにより、XNUMX 人以上のユーザーの SharePoint Online または OneDrive アカウントにアクセスできます。
  • アカウントの乗っ取りと発見: 攻撃者は、侵害されたユーザーが所有する、またはサードパーティの OAuth アプリケーション (ユーザーの OneDrive アカウントも含まれる) によって制御されるすべてのファイルにアクセスできるようになりました。
  • 収集と流出: 現在、ファイルのバージョン管理の制限は低い数に削減されています。 B. 1 をシンプルにする。 その後、ファイルはバージョン制限を超えて暗号化されます。 例の制限が 1 の場合、ファイルは XNUMX 回暗号化されます。 このステップは、エンドポイント ベースのランサムウェアの攻撃チェーンとは異なり、クラウド ランサムウェアに固有のものです。 場合によっては、攻撃者は二重恐喝戦術の一環として、暗号化されていないファイルを盗み出すことができます。
  • 収益化: これで、ファイルのすべての元のバージョン (攻撃者の前) が失われ、クラウド アカウントには各ファイルの暗号化されたバージョンだけが残ります。 この時点で、攻撃者は組織に身代金を要求できます。

 

マイクロソフトは辞退

Microsoft は、Microsoft サポートの助けを借りて、攻撃から 14 日以内であれば古いバージョンのファイルを引き続き回復できることを Proofpoint に通知しました。 しかし、Proofpoint はこれをテストし、この方法で暗号化されたファイルを復元することはできないと判断しました。 ブログ投稿で、Proofpoint は OneDrive と SharePoint の攻撃と設定をさらに技術的に詳しく調べています。

さらに詳しくは、proofpoint.com をご覧ください

 

プルーフポイントについて

Proofpoint, Inc. は、大手サイバーセキュリティ企業です。 Proofpoint の焦点は、従業員の保護です。 これらは企業にとって最大の資本であると同時に、最大のリスクでもあるからです。 Proofpoint は、クラウドベースのサイバーセキュリティ ソリューションの統合スイートにより、世界中の組織が標的型脅威を阻止し、データを保護し、サイバー攻撃のリスクについて企業の IT ユーザーを教育するのに役立ちます。

 

トピックに関連する記事

IT セキュリティ: NIS-2 により最優先事項となります

経営陣が IT セキュリティに責任を負っているのはドイツ企業の 4 分の 1 だけです。特に中小企業では ➡続きを読む

サイバー攻撃は 104 年に 2023% 増加

サイバーセキュリティ会社は、昨年の脅威の状況を調査しました。結果は、以下の重要な洞察を提供します。 ➡続きを読む

IT セキュリティ: LockBit 4.0 の基礎の解除

トレンドマイクロは英国国家犯罪庁(NCA)と協力し、開発中の未公開バージョンを分析した。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

モバイル スパイウェアはビジネスに脅威をもたらす

日常生活でも会社でもモバイルデバイスを使用する人がますます増えています。これにより、「モバイル」のリスクも軽減されます。 ➡続きを読む

クラウドソーシングのセキュリティで多くの脆弱性を特定

クラウドソーシングによるセキュリティは、昨年大幅に向上しました。公共部門では、前年よりも 151% 多くの脆弱性が報告されました。 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

FBI:インターネット犯罪報告書、被害額は12,5億ドルと集計 

FBI のインターネット犯罪苦情センター (IC3) は、2023 万人以上からの情報を含む 880.000 年のインターネット犯罪報告書を発表しました。 ➡続きを読む

ストーリー
, , , , , ,