La funzionalità OneDrive e SharePoint di Microsoft semplifica la diffusione del ransomware

I ricercatori della sicurezza IT di Proofpoint hanno trovato una funzionalità in Microsoft 365 o Office 365, in particolare OneDrive e SharePoint, che semplifica la crittografia dei dati da parte degli aggressori. Utenti e amministratori spesso presumono che questo spazio di archiviazione cloud sia al sicuro, poiché i backup dei dati sono disponibili tramite il controllo della versione.

in uno Gli analisti IT scrivono post sul blogFinora, gli attacchi ransomware hanno preso di mira principalmente dispositivi periferici e unità di rete. Questo potrebbe cambiare perché gli aggressori possono ridurre il numero di versioni salvate sui sistemi cloud.

Scenario di attacco per SharePoint e OneDrive

I ricercatori IT descrivono il seguente scenario di attacco:

1. Ottieni l’accesso iniziale: gli aggressori devono prima ottenere l’accesso a uno o più account di SharePoint Online o OneDrive tramite l’hacking o il dirottamento delle identità degli utenti, ad esempio il phishing.
2. Acquisizione del conto e indagine: gli aggressori ora possono accedere a qualsiasi file di proprietà dell’account utente violato o accessibile tramite applicazioni di terze parti basate su OAuth.
3. raccolta e filtraggio: Gli aggressori riducono il numero di versioni per rimanere su poche, diciamo 1. Ora devono solo crittografare il file due volte, lasciando la vittima senza un backup utilizzabile nel cloud. È qui che l’attacco ransomware differisce dalla precedente versione basata su endpoint. Prima della crittografia, i criminali informatici potrebbero anche copiare i dati per utilizzare una strategia di doppia estorsione, se necessario.
4. liquefazione: poiché ora mancano tutte le versioni dei file precedenti all’attacco e sono disponibili solo le versioni crittografate, gli aggressori possono estorcere all’organizzazione un riscatto.

Il potenziale attacco agli elenchi e alle raccolte documenti in SharePoint è simile. Proofpoint scrive che la società ha contattato Microsoft in merito a questa questione. Microsoft ha risposto che la funzionalità funzionava come previsto e che le potenziali vittime potevano ancora utilizzare il supporto per ripristinare le vecchie versioni dei file fino a 14 giorni dopo l’attacco. Proofpoint ha provato questo come esempio, ma questo tentativo di ripristino non è riuscito.

Pertanto, i responsabili IT dovrebbero tenere conto nei loro piani di sicurezza IT che i sistemi cloud di Microsoft, ad esempio, non includono un backup affidabile dei dati in caso di dubbio. Dovresti includere e considerare i documenti, gli elenchi e i file archiviati altrove nella tua strategia di backup.

(DMK)