Güvenlik araştırmacıları, tehdit aktörlerinin, şirketlerin bulut tabanlı işbirliği, belge yönetimi ve depolama için kullandıkları SharePoint ve OneDrive hizmetlerinde depolanan dosyaları bir fidye için şifrelemek için Office 365 hesaplarını ele geçirebileceğini uyarıyor.
Bu hizmetlerdeki dosyaları hedefleyen bir fidye yazılımı saldırısı, yedeklemeler mevcut değilse ciddi sonuçlara sahip olabilir, bu da önemli verilerin sahipleri ve çalışma grupları için erişilemez olmasını sağlar.
Siber Güvenlik Şirketi Proofpoint'teki araştırmacılar, bugün bir raporda, saldırının başarısının kullanıcılar düzenleme yaparken eski dosya sürümlerinin bulut yedeklerini oluşturan “otomatik” özelliğini kötüye kullanmaya dayandığını bildiriyor.
SharePoint ve OneDrive dosyalarını şifrelemek için tek ön koşul, kimlik avı veya kötü niyetli OAuth uygulamaları aracılığıyla kolayca yapılan Office 365 hesaplarından ödün vermektir.
Bir hesabı kaçırdıktan sonra, saldırganlar büyük belge listelerinde kötü niyetli işlemleri otomatikleştirmek için Microsoft API'lerini ve PowerShell komut dosyalarını kullanabilir.
Dosya kilitleme aşamasını daha hızlı bitirmenin ve kurtarmayı daha zor hale getirme hilesi, sürüm numaralandırma sınırını azaltmak ve tüm dosyaları bu sınırdan daha fazla şifrelemektir.
Bu görev idari ayrıcalıklar gerektirmez ve kaçırılan herhangi bir hesaptan yapılabilir. Örnek olarak, araştırmacılar bir düşmanın dosya sürümlerinin sayısını "1" olarak azaltabileceğini ve verileri iki kez şifreleyebileceğini söylüyor.
Dosya sürüm limiti “1” olarak ayarlandığında, saldırgan dosyayı iki kez şifrelediğinde veya düzenlediğinde, orijinal belge artık OneDrive aracılığıyla kullanılamayacak ve geri yüklenemez.
Başka bir yol, dosyaları 501 kez düzenlemek için otomatik komut dosyalarını kullanmaktır, bu da dosya sürümlerini saklamak için OneDrive'daki maksimum 500 sınırının üzerindedir. Bu yöntem "daha yüksek" olsa da ve bazı uyarıları tetikleyebilirken, hala geçerli bir yaklaşım olarak sayılır.
Belge şifrelemesi tamamlandığında, tehdit oyuncusu artık dosyaların kilidini açma karşılığında kurbandan bir fidye isteyebilir.
Orijinal belgeleri, verileri sızdırma tehdidi altında kurban üzerinde daha fazla baskı yapmak için şifrelemeden önce çalmak da mümkündür ve özellikle yedekler varsa etkili olabilir.
Proofpoint, Microsoft'u sürüm numaralandırma ayarının kötüye kullanılması potansiyelini bilgilendirdi, ancak teknoloji devi bu yapılandırma yeteneğinin amaçlanan işlevsellik olduğunu savunuyor.
Dahası, Microsoft Proofpoint'e, yukarıdaki saldırı senaryosunda olduğu gibi beklenmedik veri kaybı durumlarında, destek ajanlarının olaydan 14 gün sonra iyileşmeye yardımcı olabileceğini söyledi. Ancak Proofpoint, bu yöntemi kullanarak dosyaları geri yüklemeye çalıştığını ve başarısız olduğunu bildirdi.
Bu bulut saldırıları tarafından hedeflenebilecek kuruluşlar için en iyi güvenlik uygulamaları şunları içerir:
Foxconn, Meksika'da fidye yazılımı saldırısının bozulmasını onayladı
Fidye yazılımı saldırılarının sistemleri şifrelemek için dört günden az olması gerekiyor
Conti, Revil, Lockbit fidye yazılımı hataları, şifrelemeyi engellemek için sömürüldü
Ransomware'deki hafta - 17 Haziran 2022 - Fidye oldum mu?
Ransomware Gang, çalışanların çalınan verilerini araması için site oluşturur
Kaynak: Bleeping Computer