Fitur Microsoft Office 365 Dapat Membantu Peretas Ransomware Menyandera File Cloud

Ransomware Hackers

“Fungsionalitas berbahaya” telah ditemukan di suite Microsoft 365 yang berpotensi disalahgunakan oleh aktor jahat untuk menebus file yang disimpan di SharePoint dan OneDrive dan meluncurkan serangan pada infrastruktur cloud.

Serangan ransomware cloud memungkinkan untuk meluncurkan malware enkripsi file untuk “mengenkripsi file yang disimpan di SharePoint dan OneDrive dengan cara yang membuatnya tidak dapat dipulihkan tanpa cadangan khusus atau kunci dekripsi dari penyerang,” kata Proofpoint dalam sebuah laporan yang diterbitkan hari ini.

Urutan infeksi dapat dilakukan dengan menggunakan kombinasi Microsoft API, skrip antarmuka baris perintah (CLI), dan skrip PowerShell, tambah perusahaan keamanan perusahaan.

Serangan itu, pada intinya, bergantung pada fitur Microsoft 365 yang disebut Simpan Otomatis yang membuat salinan versi file yang lebih lama saat dan saat pengguna mengedit file yang disimpan di OneDrive atau SharePoint Online.

Keamanan cyber

Ini dimulai dengan mendapatkan akses tidak sah ke akun SharePoint Online atau OneDrive pengguna target, diikuti dengan menyalahgunakan akses untuk mengekstrak dan mengenkripsi file. Tiga cara paling umum untuk mendapatkan pijakan awal melibatkan pelanggaran langsung akun melalui serangan phishing atau brute force, menipu pengguna agar mengizinkan aplikasi OAuth pihak ketiga yang nakal, atau mengambil alih sesi web dari pengguna yang masuk.

Namun yang membedakan serangan ini dari aktivitas ransomware endpoint tradisional adalah fase enkripsi mengharuskan penguncian setiap file di SharePoint Online atau OneDrive lebih dari batas versi yang diizinkan.

Ransomware

Microsoft menguraikan perilaku versi dalam dokumentasinya sebagai berikut –

Related Post :   Cisco Mengeluarkan Patch untuk Kerentanan Zero-Day IOS XR Baru yang Dieksploitasi di Alam Liar

Beberapa organisasi mengizinkan versi file yang tidak terbatas dan yang lainnya menerapkan batasan. Anda mungkin menemukan, setelah memeriksa versi terbaru file, bahwa versi lama tidak ada. Jika versi terbaru Anda adalah 101.0 dan Anda melihat bahwa tidak ada lagi versi 1.0, itu berarti administrator mengonfigurasi pustaka untuk mengizinkan hanya 100 versi utama file. Penambahan versi 101 menyebabkan versi pertama terhapus. Hanya versi 2.0 hingga 101.0 yang tersisa. Demikian pula, jika versi ke-102 ditambahkan, hanya versi 3.0 hingga 102.0 yang tersisa.

Dengan memanfaatkan akses ke akun, penyerang dapat membuat terlalu banyak versi file atau sebagai alternatif mengurangi batas versi pustaka dokumen ke yang lebih rendah seperti “1” dan kemudian melanjutkan untuk mengenkripsi setiap file dua kali.

Keamanan cyber

“Sekarang semua file versi asli (pra-penyerang) hilang, hanya menyisakan versi terenkripsi dari setiap file di akun cloud,” para peneliti menjelaskan. “Pada titik ini, penyerang dapat meminta tebusan dari organisasi.”

Microsoft, sebagai tanggapan atas temuan tersebut, menunjukkan bahwa versi file yang lebih lama dapat berpotensi dipulihkan dan dipulihkan selama 14 hari tambahan dengan bantuan Dukungan Microsoft, sebuah proses yang menurut Proofpoint tidak berhasil.

Kami telah menghubungi raksasa teknologi untuk komentar lebih lanjut, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.

Untuk mengurangi serangan semacam itu, disarankan untuk menerapkan kebijakan kata sandi yang kuat, mengamanatkan otentikasi multi-faktor (MFA), mencegah unduhan data skala besar ke perangkat yang tidak dikelola, dan memelihara pencadangan eksternal berkala file cloud dengan data sensitif.

Related Post :   Peneliti Mendemonstrasikan Ransomware untuk Perangkat IoT yang Menargetkan Jaringan IT dan OT

“File yang disimpan dalam keadaan hibrid pada titik akhir dan cloud seperti melalui folder sinkronisasi cloud akan mengurangi dampak risiko baru ini karena penyerang tidak akan memiliki akses ke file lokal/titik akhir,” kata para peneliti. “Untuk melakukan aliran tebusan penuh, penyerang harus mengkompromikan titik akhir dan akun cloud untuk mengakses titik akhir dan file yang disimpan di cloud.”


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.