Proofpoint ontdekt Microsoft Office 365-functionaliteit die bestanden op SharePoint en OneDrive versleutelt

  1. 20 jun 2022
  2. 0 reacties

proofpoint

Ransomware-aanvallen zijn van oudsher gericht op data op endpoints of netwerkschijven. Tot nu toe dachten IT- en beveiligingsteams dat de cloud beter bestand was tegen ransomware-aanvallen. Immers, de nu bekende "AutoSave"-functie, samen met versiebeheer en de welbekende prullenbak, zouden voldoende moeten zijn geweest als back-ups. Dat is mogelijk echter verleden tijd.
 
Proofpoint heeft een mogelijk gevaarlijk stukje functionaliteit in Office 365 of Microsoft 365 ontdekt. Hiermee kan ransomware bestanden die zijn opgeslagen op SharePoint en OneDrive versleutelen op een manier waardoor ze onherstelbaar zijn zonder speciale back-ups of een decryptiesleutel van de aanvaller.
 
Het onderzoek richtte zich op twee van de populairste cloud-apps voor bedrijven - SharePoint Online en OneDrive binnen de Microsoft 365- en Office 365-suites. Hieruit blijkt dat ransomware-actoren zich nu richten op data van organisaties in de cloud en aanvallen kunnen uitvoeren op cloud-infrastructuur. 
 
Aanvalsketen voor ransomware in de cloud
Het Proofpoint-team heeft de aanvalsketen in kaart gebracht en de onderstaande stappen gedocumenteerd. Eenmaal uitgevoerd, versleutelt de aanval de bestanden in de accounts van de gecompromitteerde gebruikers. Net als bij endpoint ransomware kunnen die bestanden vervolgens alleen worden teruggehaald met decryptiesleutels.
  1. Toegang wordt verkregen tot de SharePoint Online- of OneDrive-accounts van een of meer gebruikers door de identiteit van gebruikers te compromitteren of over te nemen.
  2. De aanvaller heeft nu toegang tot elk bestand van de gecompromitteerde gebruiker of OAuth-applicatie (waaronder ook het OneDrive-account van de gebruiker).
  3. De versielimiet van bestanden wordt verlaagd tot een laag getal zoals 1. Vervolgens wordt het bestand vaker dan de versielimiet versleuteld, in dit geval twee keer. Deze stap is uniek voor cloud ransomware in vergelijking met de aanvalsketen voor endpoint ransomware.
  4. Nu zijn alle originele versies van de bestanden verloren gegaan, waardoor alleen de versleutelde versies van elk bestand in het cloudaccount overblijven. Nu kan de aanvaller losgeld vragen aan de organisatie.
Versiebeheer van documentbibliotheken
Elke documentbibliotheek in SharePoint Online en OneDrive heeft een configureerbare instelling voor het aantal opgeslagen versies, die de eigenaar van de website kan wijzigen, ongeacht zijn of haar andere rollen. Ze hoeven dus geen beheerdersrol of bijbehorende privileges te hebben.
 
Wanneer de versielimiet van de documentbibliotheek wordt verlaagd, zullen verdere wijzigingen aan de bestanden in de documentbibliotheek ertoe leiden dat oudere versies zeer moeilijk te herstellen zijn. Er zijn twee manieren om het versiebeheer te misbruiken voor kwaadwillende doeleinden. Dat kan door te veel versies van een bestand te maken of door de versielimieten van een documentbibliotheek te verlagen, waarbij de laatste methode zowel makkelijker als doeltreffender is.
 
Bescherming van de organisatie en gevoelige data
Gelukkig zijn veel van de best practices die gelden voor endpoint ransomware ook van toepassing als het gaat om het beschermen van cloudomgevingen.
 
Ten eerste dient detectie van riskante wijzigingen in bestandsconfiguratie te worden ingeschakeld voor Office 365-accounts. Hoewel een gebruiker per ongeluk de instelling kan wijzigen, is dit niet gebruikelijk. Als gebruikers dit onbewust hebben gedaan, moeten ze hierop worden gewezen en worden gevraagd de versielimiet te verhogen. Dit verkleint het risico dat een aanvaller gebruikers compromitteert en gebruik maakt van de toch al lage versielimieten.
 
Ten tweede moet de veiligheidshygiëne rond ransomware worden verbeterd, met een focus op:
  • Very Attacked People (VAP's): De gebruikers die het vaakst te maken krijgen met cloud-, e-mail- en webaanvallen moeten in kaart gebracht worden en het moet prioriteit krijgen om hen beter te beschermen. Deze gebruikers zijn niet per definitie de meest senior werknemers, zoals leidinggevenden en gebruikers met veel privileges.
  • Toegangsbeheer: Organisaties moeten zorgen voor een sterk wachtwoordbeleid, het gebruik van multifactor-authenticatie (MFA) en een toegangsbeleid op basis van minimale privileges en principes voor cloud-apps.
  • Herstel en back-up: Het beleid voor disaster recovery en back-up van data moet worden bijgewerkt om de schade door ransomware te beperken.
  • Cloudbeveiliging: Er moeten tools worden geïmplementeerd om misbruik van accounts en applicaties van derden op te sporen en te verhelpen.
  • Data Loss Prevention (DLP): Het downloaden van gevoelige data en grootschalige downloads van data naar onbeheerde apparaten moet worden voorkomen om de kans op dubbele chantagetactieken bij ransomware te verkleinen.
Verantwoorde openbaarmaking en discussie
Voorafgaand aan dit onderzoek heeft Proofpoint het openbaarmakingstraject van Microsoft gevolgd en een aantal reacties ontvangen. Microsoft beweert het volgende:
  • De configuratiefunctionaliteit voor versie-instellingen binnen lijsten werkt zoals bedoeld.
  • Oudere versies van bestanden kunnen mogelijk worden hersteld en teruggezet voor nog eens 14 dagen met de hulp van Microsoft Support.
Proofpoint heeft echter geprobeerd om via dit proces (met Microsoft Support) oude versies te herstellen, maar slaagde daar niet in. Ten tweede, zelfs als de configuratie voor versiebeheer is zoals bedoeld, heeft Proofpoint aangetoond dat deze door aanvallers kan worden misbruikt voor cloud ransomware-aanvallen.
 
Meer informatie over hoe Proofpoint cloudaccounts en dataverlies in de cloud kan beschermen, is te vinden op Proofpoint CASB.
 
Meer over
Lees ook
Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt

Een miljoen Phishing-as-a-Service-aanvallen in twee maanden benadrukken een dreiging die zich snel ontwikkelt

Een nieuw rapport over de tools en technieken die bij deze aanvallen worden gebruikt laat zien dat PhaaS-platforms zich snel ontwikkelen, gevaarlijker en beter worden in het ontwijken van detectie. Veel aanvallen zijn gericht op gebruikers van populaire cloud platforms zoals Microsoft 365.

Arctic Wolf Threat Report: cybercriminelen zetten steeds vaker in op dubbele afpersing

Arctic Wolf Threat Report: cybercriminelen zetten steeds vaker in op dubbele afpersing

Uit het 2025 Arctic Wolf Threat Report blijkt dat cybercriminelen hun gedrag aan het veranderen zijn: het wegsluizen van data is de norm geworden en is niet meer een uitzondering. Aanvallers versleutelen niet langer alleen data met ransomware, ze stelen deze data eerst om de druk op hun slachtoffers te vergroten

WatchGuard: 300% stijging in endpoint malware

WatchGuard: 300% stijging in endpoint malware

WatchGuard Technologies signaleert in zijn nieuwste Internet Security Report een zorgwekkende stijging van 300% in endpoint malwaredetecties in het derde kwartaal van 2024. Cybercriminelen richten zich steeds vaker op legitieme websites en documenten om malware te verspreiden.