Proofpoint ontdekt Microsoft Office 365-functionaliteit die bestanden op SharePoint en OneDrive versleutelt

proofpoint

Ransomware-aanvallen zijn van oudsher gericht op data op endpoints of netwerkschijven. Tot nu toe dachten IT- en beveiligingsteams dat de cloud beter bestand was tegen ransomware-aanvallen. Immers, de nu bekende "AutoSave"-functie, samen met versiebeheer en de welbekende prullenbak, zouden voldoende moeten zijn geweest als back-ups. Dat is mogelijk echter verleden tijd.
 
Proofpoint heeft een mogelijk gevaarlijk stukje functionaliteit in Office 365 of Microsoft 365 ontdekt. Hiermee kan ransomware bestanden die zijn opgeslagen op SharePoint en OneDrive versleutelen op een manier waardoor ze onherstelbaar zijn zonder speciale back-ups of een decryptiesleutel van de aanvaller.
 
Het onderzoek richtte zich op twee van de populairste cloud-apps voor bedrijven - SharePoint Online en OneDrive binnen de Microsoft 365- en Office 365-suites. Hieruit blijkt dat ransomware-actoren zich nu richten op data van organisaties in de cloud en aanvallen kunnen uitvoeren op cloud-infrastructuur. 
 
Aanvalsketen voor ransomware in de cloud
Het Proofpoint-team heeft de aanvalsketen in kaart gebracht en de onderstaande stappen gedocumenteerd. Eenmaal uitgevoerd, versleutelt de aanval de bestanden in de accounts van de gecompromitteerde gebruikers. Net als bij endpoint ransomware kunnen die bestanden vervolgens alleen worden teruggehaald met decryptiesleutels.
  1. Toegang wordt verkregen tot de SharePoint Online- of OneDrive-accounts van een of meer gebruikers door de identiteit van gebruikers te compromitteren of over te nemen.
  2. De aanvaller heeft nu toegang tot elk bestand van de gecompromitteerde gebruiker of OAuth-applicatie (waaronder ook het OneDrive-account van de gebruiker).
  3. De versielimiet van bestanden wordt verlaagd tot een laag getal zoals 1. Vervolgens wordt het bestand vaker dan de versielimiet versleuteld, in dit geval twee keer. Deze stap is uniek voor cloud ransomware in vergelijking met de aanvalsketen voor endpoint ransomware.
  4. Nu zijn alle originele versies van de bestanden verloren gegaan, waardoor alleen de versleutelde versies van elk bestand in het cloudaccount overblijven. Nu kan de aanvaller losgeld vragen aan de organisatie.
Versiebeheer van documentbibliotheken
Elke documentbibliotheek in SharePoint Online en OneDrive heeft een configureerbare instelling voor het aantal opgeslagen versies, die de eigenaar van de website kan wijzigen, ongeacht zijn of haar andere rollen. Ze hoeven dus geen beheerdersrol of bijbehorende privileges te hebben.
 
Wanneer de versielimiet van de documentbibliotheek wordt verlaagd, zullen verdere wijzigingen aan de bestanden in de documentbibliotheek ertoe leiden dat oudere versies zeer moeilijk te herstellen zijn. Er zijn twee manieren om het versiebeheer te misbruiken voor kwaadwillende doeleinden. Dat kan door te veel versies van een bestand te maken of door de versielimieten van een documentbibliotheek te verlagen, waarbij de laatste methode zowel makkelijker als doeltreffender is.
 
Bescherming van de organisatie en gevoelige data
Gelukkig zijn veel van de best practices die gelden voor endpoint ransomware ook van toepassing als het gaat om het beschermen van cloudomgevingen.
 
Ten eerste dient detectie van riskante wijzigingen in bestandsconfiguratie te worden ingeschakeld voor Office 365-accounts. Hoewel een gebruiker per ongeluk de instelling kan wijzigen, is dit niet gebruikelijk. Als gebruikers dit onbewust hebben gedaan, moeten ze hierop worden gewezen en worden gevraagd de versielimiet te verhogen. Dit verkleint het risico dat een aanvaller gebruikers compromitteert en gebruik maakt van de toch al lage versielimieten.
 
Ten tweede moet de veiligheidshygiëne rond ransomware worden verbeterd, met een focus op:
  • Very Attacked People (VAP's): De gebruikers die het vaakst te maken krijgen met cloud-, e-mail- en webaanvallen moeten in kaart gebracht worden en het moet prioriteit krijgen om hen beter te beschermen. Deze gebruikers zijn niet per definitie de meest senior werknemers, zoals leidinggevenden en gebruikers met veel privileges.
  • Toegangsbeheer: Organisaties moeten zorgen voor een sterk wachtwoordbeleid, het gebruik van multifactor-authenticatie (MFA) en een toegangsbeleid op basis van minimale privileges en principes voor cloud-apps.
  • Herstel en back-up: Het beleid voor disaster recovery en back-up van data moet worden bijgewerkt om de schade door ransomware te beperken.
  • Cloudbeveiliging: Er moeten tools worden geïmplementeerd om misbruik van accounts en applicaties van derden op te sporen en te verhelpen.
  • Data Loss Prevention (DLP): Het downloaden van gevoelige data en grootschalige downloads van data naar onbeheerde apparaten moet worden voorkomen om de kans op dubbele chantagetactieken bij ransomware te verkleinen.
Verantwoorde openbaarmaking en discussie
Voorafgaand aan dit onderzoek heeft Proofpoint het openbaarmakingstraject van Microsoft gevolgd en een aantal reacties ontvangen. Microsoft beweert het volgende:
  • De configuratiefunctionaliteit voor versie-instellingen binnen lijsten werkt zoals bedoeld.
  • Oudere versies van bestanden kunnen mogelijk worden hersteld en teruggezet voor nog eens 14 dagen met de hulp van Microsoft Support.
Proofpoint heeft echter geprobeerd om via dit proces (met Microsoft Support) oude versies te herstellen, maar slaagde daar niet in. Ten tweede, zelfs als de configuratie voor versiebeheer is zoals bedoeld, heeft Proofpoint aangetoond dat deze door aanvallers kan worden misbruikt voor cloud ransomware-aanvallen.
 
Meer informatie over hoe Proofpoint cloudaccounts en dataverlies in de cloud kan beschermen, is te vinden op Proofpoint CASB.
 
Meer over
Lees ook
WatchGuard: malware gericht op endpoints stijgt explosief

WatchGuard: malware gericht op endpoints stijgt explosief

Ondanks dat het totale aantal netwerkdetecties van malware in het afgelopen kwartaal bijna gehalveerd is ten opzichte van het vorige kwartaal, is het aantal detecties van malware gericht op endpoints met 82% gestegen.

Miljoenen berichten verspreiden LockBit 3.0

Miljoenen berichten verspreiden LockBit 3.0

Proofpoint observeert sinds 24 april 2024 dagelijks en gedurende ongeveer een week lang campagnes met grote volumes en miljoenen berichten, gefaciliteerd door het Phorpiex-botnet.

Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Van social engineering tot DMARC-misbruik: TA427’s informatieverzamelkunst

Onderzoekers van Proofpoint volgen verschillende dreigingsactoren, waaronder TA427. Deze dreigingsactor is ook bekend als Emerald Sleet, APT43, THALLIUM of Kimsuky en wordt gelieerd aan Noord-Korea.