Ransomware & OneDrive: Angreifer löschen Versions-Backups

Beitrag teilen

Proofpoint hat potenziell gefährliche Funktionen von Microsoft Office 365 entdeckt mit der Angreifer die auf SharePoint und OneDrive gespeicherte Versions-Dateien zur Wiederherstellung löschen um so leichter die Opfer erpressen zu können. 

Ransomware-Angriffe haben traditionell Daten über Endpunkte oder Netzlaufwerke hinweg zum Ziel. Bisher waren IT- und Sicherheitsteams der Meinung, dass Cloud-Laufwerke widerstandsfähiger gegen Ransomware-Angriffe wären. Schließlich hätte das mittlerweile bekannte „AutoSave“-Feature nebst Versionierung und dem guten alten Papierkorb für Dateien als Backup genügen sollen. Das dürfte aber nicht mehr lange der Fall sein.

Anzeige

Schwachstelle in Microsoft 365 und OneDrive

Proofpoint hat eine potenziell gefährliche Funktion in Office 365 oder Microsoft 365 entdeckt, die es Ransomware ermöglicht, auf SharePoint und OneDrive gespeicherte Dateien so zu verschlüsseln, dass sie ohne dedizierte Backups oder einen Entschlüsselungsschlüssel des Angreifers nicht wiederherstellbar sind. Die Forschung konzentrierte sich auf zwei der beliebtesten Cloud-Apps für Unternehmen – SharePoint Online und OneDrive innerhalb der Microsoft 365- und Office 365-Suiten – und zeigt, dass Ransomware-Akteure jetzt Unternehmensdaten in der Cloud angreifen und Angriffe auf die Cloud-Infrastruktur starten können.

Cloud-Ransomware-Angriffskette

Die Angriffskette: Proofpoint hat die Angriffskette identifiziert und die folgenden Schritte dokumentiert. Nach der Ausführung verschlüsselt der Angriff die Dateien in den Konten der kompromittierten Benutzer. Wie bei Endpunkt-Ransomware-Aktivitäten können diese Dateien nur mit Entschlüsselungsschlüsseln abgerufen werden.

Die unten beschriebenen Aktionen können mithilfe von Microsoft-APIs, Befehlszeilenschnittstellen (CLI)-Skripts und PowerShell-Skripts automatisiert werden.

Diagramm der Cloud-Ransomware-Angriffskette. Die Erfassungs- und Exfiltrationsphase ist einzigartig in Microsoft-Umgebungen (Bild: proofpoint).

  • Anfänglicher Zugriff: Angreifer erhalten Zugriff auf die SharePoint Online- oder OneDrive-Konten eines oder mehrerer Benutzer, indem Sie die Identitäten der Benutzer kompromittieren oder entführen.
  • Kontoübernahme und -entdeckung: Der Angreifer hat jetzt Zugriff auf alle Dateien, die dem kompromittierten Benutzer gehören oder von der OAuth-Anwendung eines Drittanbieters kontrolliert werden (was auch das OneDrive-Konto des Benutzers einschließen würde).
  • Sammlung und Exfiltration: Nun wird das Versionierungslimit von Dateien auf eine niedrige Zahl reduziert, z. B. 1, um es einfach zu halten. Dann wird die Datei öfter als das Versionslimit verschlüsselt. Mit dem Beispiellimit von 1 werden die Datei zweimal verschlüsselt. Dieser Schritt ist einzigartig für Cloud-Ransomware im Vergleich zur Angriffskette für endpunktbasierte Ransomware. In einigen Fällen kann der Angreifer die unverschlüsselten Dateien im Rahmen einer doppelten Erpressungstaktik exfiltrieren.
  • Monetarisierung: Jetzt gehen alle Originalversionen (vor dem Angreifer) der Dateien verloren, sodass nur die verschlüsselten Versionen jeder Datei im Cloud-Konto verbleiben. An diesem Punkt kann der Angreifer Lösegeld von der Organisation verlangen.

 

Microsoft wiegelt ab

Microsoft teilte Proofpoint mit, dass ältere Versionen von Dateien noch innerhalb von 14 Tagen nach einem Angriff mit Hilfe des Microsoft-Supports wiederhergestellt werden können. Proofpoint hat dies jedoch getestet und festgestellt hat, dass die Wiederherstellung verschlüsselter Dateien auf diese Weise nicht funktioniert. In einem Blog-Beitrag blättert proofpoint die Attacke und Einstellungen in OneDrive so wie in SharePoint technisch noch detaillierter auf.

Mehr bei proofpoint.com

 


Über Proofpoint

Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.


 

Passende Artikel zum Thema

Modulare Speicherlösung für hohe Sicherheitsanforderungen

Die hochmoderne Speicherlösung Silent Brick Pro wurde speziell für Unternehmen entwickelt die Daten effizient, schnell und besonders sicher speichern wollen. ➡ Weiterlesen

Global Threat Report 2024: Deswegen haben Angreifer Erfolg

Relativ leicht können Angreifer grundlegende Sicherheitseinstellungen leicht ausnutzen, das zeigt der Global Threat Report 2024 von Elastic. Standardisierte offensive Sicherheitstools und unzureichend ➡ Weiterlesen

APT41 hat mit DodgeBox und Moonwalk aufgerüstet

Analysten des Zscaler ThreatLabs haben die neuesten Entwicklungen der chinesischen Gruppierung APT41/Earth Baku unter die Lupe genommen. Dabei haben sie ➡ Weiterlesen

Report: Fertigungsbranche im Visier von Cyberkriminellen

Laut Threat Intelligence Report haben im ersten Halbjahr 2024 insbesondere Cyberattacken auf die Fertigungsbranche und den Industriesektor zugenommen. Der Report ➡ Weiterlesen

Ransomware-Studie: Vier-Jahres-Hoch im Gesundheitswesen

In seinem Report „The State of Ransomware in Healthcare 2024“ veröffentlicht Sophos seine aktuellen Ergebnisse über die steigenden Angriffe auf ➡ Weiterlesen

Datendiebstahl: CeranaKeeper missbraucht Dropbox, OneDrive & Co

Noch treibt der Bedrohungsakteur CeranaKeeper nur Datendiebstahl in Asien. Dort nutzt er Dienste wie Pastebin, Dropbox, OneDrive und GitHub für ➡ Weiterlesen

End-to-End-Framework schützt vor Datenverlusten

Proofpoint und zertifizierte Partner stellen ihren Kunden ein NIST-orientiertes End-to-End-Framework vor, das bei der Entwicklung, Implementierung und Optimierung von Data ➡ Weiterlesen

Ransomware-Angriffe: Der lange Leidensweg

Ransomware-Angriffe haben verheerende Folgen für Unternehmen. Sie dauern nur kurze Zeit, aber die Wiederherstellung kann sich über Monate hinziehen. Das ➡ Weiterlesen