Proofpoint, saldırganların kurbanlara daha kolay şantaj yapmak için SharePoint ve OneDrive'da depolanan kurtarma sürümü dosyalarını silmek için kullandıkları potansiyel olarak tehlikeli Microsoft Office 365 özelliklerini keşfetti.
Fidye yazılımı saldırıları, geleneksel olarak uç noktalardaki veya ağ sürücülerindeki verileri hedefler. Şimdiye kadar BT ve güvenlik ekipleri, bulut sürücülerinin fidye yazılımı saldırılarına karşı daha dirençli olduğuna inanıyorlardı. Ne de olsa, sürüm oluşturma ve yedek olarak dosyalar için eski güzel geri dönüşüm kutusu ile birlikte artık iyi bilinen “Otomatik Kaydetme” özelliği yeterli olmalıydı. Ancak bu çok daha uzun süre böyle olmayabilir.
Microsoft 365 ve OneDrive'daki güvenlik açığı
Proofpoint, Office 365 veya Microsoft 365'te, fidye yazılımının SharePoint ve OneDrive'da depolanan dosyaları saldırgandan özel yedeklemeler veya şifre çözme anahtarı olmadan kurtarılamaz hale getirecek şekilde şifrelemesine olanak tanıyan potansiyel olarak tehlikeli bir özellik keşfetti. Araştırma, iş için en popüler bulut uygulamalarından ikisine (Microsoft 365 ve Office 365 paketlerindeki SharePoint Online ve OneDrive) odaklandı ve fidye yazılımı aktörlerinin artık buluttaki kurumsal verileri hedeflediğini ve bulut altyapısına yönelik saldırılar başlatabildiğini gösteriyor.
Bulut fidye yazılımı saldırı zinciri
Saldırı Zinciri: Proofpoint, saldırı zincirini tanımlamış ve aşağıdaki adımları belgelemiştir. Saldırı yürütüldüğünde, güvenliği ihlal edilmiş kullanıcıların hesaplarındaki dosyaları şifreler. Uç nokta fidye yazılımı etkinliklerinde olduğu gibi, bu dosyalara yalnızca şifre çözme anahtarları kullanılarak erişilebilir.
Aşağıda açıklanan eylemler, Microsoft API'leri, Komut Satırı Arayüzü (CLI) komut dosyaları ve PowerShell komut dosyaları kullanılarak otomatikleştirilebilir.
Bulut fidye yazılımı saldırı zinciri diyagramı. Yakalama ve sızdırma aşaması, Microsoft ortamlarında benzersizdir (Resim: kanıt noktası).
- İlk erişim: Saldırganlar, kullanıcıların kimliklerini tehlikeye atarak veya ele geçirerek bir veya daha fazla kullanıcının SharePoint Online veya OneDrive hesaplarına erişim sağlar.
- Hesap devralma ve keşif: Saldırganın artık güvenliği ihlal edilmiş kullanıcının sahip olduğu veya üçüncü taraf OAuth uygulaması tarafından kontrol edilen (kullanıcının OneDrive hesabını da içerecek olan) tüm dosyalara erişimi vardır.
- toplama ve sızdırma: Artık dosyaların sürüm oluşturma sınırı düşük bir sayıya düşürüldü, örn. B. 1 basit tutmak için. Ardından dosya, sürüm sınırından daha fazla kez şifrelenecektir. 1 örnek sınırı ile dosya iki kez şifrelenecektir. Bu adım, uç nokta tabanlı fidye yazılımı saldırı zincirine kıyasla bulut fidye yazılımına özgüdür. Bazı durumlarda, saldırgan ikili şantaj taktiğinin bir parçası olarak şifrelenmemiş dosyaları sızdırabilir.
- Para kazanma: Artık dosyaların tüm orijinal sürümleri (saldırgandan önce) kaybolur ve bulut hesabında her dosyanın yalnızca şifrelenmiş sürümleri kalır. Saldırgan bu noktada örgütten fidye talep edebilir.
Microsoft reddediyor
Microsoft, Proofpoint'e dosyaların eski sürümlerinin bir saldırıdan sonraki 14 gün içinde Microsoft Desteği'nin yardımıyla kurtarılabileceğini bildirdi. Ancak Proofpoint bunu test etti ve şifrelenmiş dosyaları bu şekilde geri yüklemenin işe yaramadığını belirledi. Bir blog gönderisinde, prova noktası saldırıyı ve OneDrive'daki ve SharePoint'teki ayarlara daha da teknik ayrıntılarla bakar.
Daha fazlası proofpoint.com'da
Prova Noktası Hakkında Proofpoint, Inc. önde gelen bir siber güvenlik şirketidir. Proofpoint'in odak noktası, çalışanların korunmasıdır. Çünkü bunlar bir şirket için en büyük sermaye, aynı zamanda en büyük risk anlamına gelir. Entegre bir bulut tabanlı siber güvenlik çözümleri paketiyle Proofpoint, dünyanın dört bir yanındaki kuruluşların hedeflenen tehditleri durdurmasına, verilerini korumasına ve kurumsal BT kullanıcılarını siber saldırı riskleri konusunda eğitmesine yardımcı olur.