I ricercatori della sicurezza IT di Proofpoint hanno trovato una funzionalità in Microsoft 365 o Office 365, in particolare OneDrive e SharePoint, che semplifica la crittografia dei dati da parte degli aggressori. Utenti e amministratori spesso presumono che questo spazio di archiviazione cloud sia al sicuro, poiché i backup dei dati sono disponibili tramite il controllo della versione.
in uno Gli analisti IT scrivono post sul blogFinora, gli attacchi ransomware hanno preso di mira principalmente dispositivi periferici e unità di rete. Questo potrebbe cambiare perché gli aggressori possono ridurre il numero di versioni salvate sui sistemi cloud.
Scenario di attacco per SharePoint e OneDrive
I ricercatori IT descrivono il seguente scenario di attacco:
- Ottieni l’accesso iniziale: gli aggressori devono prima ottenere l’accesso a uno o più account di SharePoint Online o OneDrive tramite l’hacking o il dirottamento delle identità degli utenti, ad esempio il phishing.
- Acquisizione del conto e indagine: gli aggressori ora possono accedere a qualsiasi file di proprietà dell’account utente violato o accessibile tramite applicazioni di terze parti basate su OAuth.
- raccolta e filtraggio: Gli aggressori riducono il numero di versioni per rimanere su poche, diciamo 1. Ora devono solo crittografare il file due volte, lasciando la vittima senza un backup utilizzabile nel cloud. È qui che l’attacco ransomware differisce dalla precedente versione basata su endpoint. Prima della crittografia, i criminali informatici potrebbero anche copiare i dati per utilizzare una strategia di doppia estorsione, se necessario.
- liquefazione: poiché ora mancano tutte le versioni dei file precedenti all’attacco e sono disponibili solo le versioni crittografate, gli aggressori possono estorcere all’organizzazione un riscatto.
Il potenziale attacco agli elenchi e alle raccolte documenti in SharePoint è simile. Proofpoint scrive che la società ha contattato Microsoft in merito a questa questione. Microsoft ha risposto che la funzionalità funzionava come previsto e che le potenziali vittime potevano ancora utilizzare il supporto per ripristinare le vecchie versioni dei file fino a 14 giorni dopo l’attacco. Proofpoint ha provato questo come esempio, ma questo tentativo di ripristino non è riuscito.
Pertanto, i responsabili IT dovrebbero tenere conto nei loro piani di sicurezza IT che i sistemi cloud di Microsoft, ad esempio, non includono un backup affidabile dei dati in caso di dubbio. Dovresti includere e considerare i documenti, gli elenchi e i file archiviati altrove nella tua strategia di backup.
(DMK)