Redactie - 21 juni 2022

Proofpoint identificeert ransomware aanvalsmethode voor Office 365 of Microsoft 365

Proofpoint identificeert ransomware aanvalsmethode voor Office 365 of Microsoft 365 image

Proofpoint heeft een mogelijk gevaarlijk stukje functionaliteit in Office 365 of Microsoft 365 ontdekt. Hiermee kan ransomware bestanden die zijn opgeslagen op SharePoint en OneDrive versleutelen op een manier waardoor ze onherstelbaar zijn zonder speciale back-ups of een decryptiesleutel van de aanvaller.

Het onderzoek richtte zich op twee van de populairste cloud-apps voor bedrijven - SharePoint Online en OneDrive binnen de Microsoft 365- en Office 365-suites. Hieruit blijkt dat ransomware-actoren zich nu richten op data van organisaties in de cloud en aanvallen kunnen uitvoeren op cloud-infrastructuur.

Het Proofpoint-team heeft de aanvalsketen in kaart gebracht en de onderstaande stappen gedocumenteerd. Eenmaal uitgevoerd, versleutelt de aanval de bestanden in de accounts van de gecompromitteerde gebruikers. Net als bij endpoint ransomware kunnen die bestanden vervolgens alleen worden teruggehaald met decryptiesleutels.

Toegang middels gehackte accounts

Toegang wordt volgens Proofpoint verkregen tot de SharePoint Online- of OneDrive-accounts van een of meer gebruikers door de identiteit van gebruikers te compromitteren of over te nemen. De aanvaller heeft dan toegang tot elk bestand van de gecompromitteerde gebruiker of OAuth-applicatie (waaronder ook het OneDrive-account van de gebruiker).

De versielimiet van bestanden wordt verlaagd tot een laag getal zoals 1. Vervolgens wordt het bestand vaker dan de versielimiet versleuteld, in dit geval twee keer. Deze stap is uniek voor cloud ransomware in vergelijking met de aanvalsketen voor endpoint ransomware. Daarmee zijn alle originele versies van de bestanden verloren gegaan, waardoor alleen de versleutelde versies van elk bestand in het cloudaccount overblijven. Vervolgens kan de aanvaller losgeld vragen aan de organisatie.

Elke documentbibliotheek in SharePoint Online en OneDrive heeft een configureerbare instelling voor het aantal opgeslagen versies, die de eigenaar van de website kan wijzigen, ongeacht zijn of haar andere rollen. Ze hoeven dus geen beheerdersrol of bijbehorende privileges te hebben. Wanneer de versielimiet van de documentbibliotheek wordt verlaagd, zullen verdere wijzigingen aan de bestanden in de documentbibliotheek ertoe leiden dat oudere versies zeer moeilijk te herstellen zijn. Er zijn twee manieren om het versiebeheer te misbruiken voor kwaadwillende doeleinden. Dat kan door te veel versies van een bestand te maken of door de versielimieten van een documentbibliotheek te verlagen, waarbij de laatste methode zowel makkelijker als doeltreffender is.

Lenovo Channel Campagne vierkant Sophos 14/11/2024 t/m 28/11/2024 BN + BW
ALSO BW 03-06-2024 tm

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!