Proofpoint ontdekt Microsoft Office 365-functionaliteit die bestanden op SharePoint en OneDrive versleutelt

proofpoint

Ransomware-aanvallen zijn van oudsher gericht op data op endpoints of netwerkschijven. Tot nu toe dachten IT- en beveiligingsteams dat de cloud beter bestand was tegen ransomware-aanvallen. Immers, de nu bekende "AutoSave"-functie, samen met versiebeheer en de welbekende prullenbak, zouden voldoende moeten zijn geweest als back-ups. Dat is mogelijk echter verleden tijd.
 
Proofpoint heeft een mogelijk gevaarlijk stukje functionaliteit in Office 365 of Microsoft 365 ontdekt. Hiermee kan ransomware bestanden die zijn opgeslagen op SharePoint en OneDrive versleutelen op een manier waardoor ze onherstelbaar zijn zonder speciale back-ups of een decryptiesleutel van de aanvaller.
 
Het onderzoek richtte zich op twee van de populairste cloud-apps voor bedrijven - SharePoint Online en OneDrive binnen de Microsoft 365- en Office 365-suites. Hieruit blijkt dat ransomware-actoren zich nu richten op data van organisaties in de cloud en aanvallen kunnen uitvoeren op cloud-infrastructuur. 
 
Aanvalsketen voor ransomware in de cloud
Het Proofpoint-team heeft de aanvalsketen in kaart gebracht en de onderstaande stappen gedocumenteerd. Eenmaal uitgevoerd, versleutelt de aanval de bestanden in de accounts van de gecompromitteerde gebruikers. Net als bij endpoint ransomware kunnen die bestanden vervolgens alleen worden teruggehaald met decryptiesleutels.
  1. Toegang wordt verkregen tot de SharePoint Online- of OneDrive-accounts van een of meer gebruikers door de identiteit van gebruikers te compromitteren of over te nemen.
  2. De aanvaller heeft nu toegang tot elk bestand van de gecompromitteerde gebruiker of OAuth-applicatie (waaronder ook het OneDrive-account van de gebruiker).
  3. De versielimiet van bestanden wordt verlaagd tot een laag getal zoals 1. Vervolgens wordt het bestand vaker dan de versielimiet versleuteld, in dit geval twee keer. Deze stap is uniek voor cloud ransomware in vergelijking met de aanvalsketen voor endpoint ransomware.
  4. Nu zijn alle originele versies van de bestanden verloren gegaan, waardoor alleen de versleutelde versies van elk bestand in het cloudaccount overblijven. Nu kan de aanvaller losgeld vragen aan de organisatie.
Versiebeheer van documentbibliotheken
Elke documentbibliotheek in SharePoint Online en OneDrive heeft een configureerbare instelling voor het aantal opgeslagen versies, die de eigenaar van de website kan wijzigen, ongeacht zijn of haar andere rollen. Ze hoeven dus geen beheerdersrol of bijbehorende privileges te hebben.
 
Wanneer de versielimiet van de documentbibliotheek wordt verlaagd, zullen verdere wijzigingen aan de bestanden in de documentbibliotheek ertoe leiden dat oudere versies zeer moeilijk te herstellen zijn. Er zijn twee manieren om het versiebeheer te misbruiken voor kwaadwillende doeleinden. Dat kan door te veel versies van een bestand te maken of door de versielimieten van een documentbibliotheek te verlagen, waarbij de laatste methode zowel makkelijker als doeltreffender is.
 
Bescherming van de organisatie en gevoelige data
Gelukkig zijn veel van de best practices die gelden voor endpoint ransomware ook van toepassing als het gaat om het beschermen van cloudomgevingen.
 
Ten eerste dient detectie van riskante wijzigingen in bestandsconfiguratie te worden ingeschakeld voor Office 365-accounts. Hoewel een gebruiker per ongeluk de instelling kan wijzigen, is dit niet gebruikelijk. Als gebruikers dit onbewust hebben gedaan, moeten ze hierop worden gewezen en worden gevraagd de versielimiet te verhogen. Dit verkleint het risico dat een aanvaller gebruikers compromitteert en gebruik maakt van de toch al lage versielimieten.
 
Ten tweede moet de veiligheidshygiëne rond ransomware worden verbeterd, met een focus op:
  • Very Attacked People (VAP's): De gebruikers die het vaakst te maken krijgen met cloud-, e-mail- en webaanvallen moeten in kaart gebracht worden en het moet prioriteit krijgen om hen beter te beschermen. Deze gebruikers zijn niet per definitie de meest senior werknemers, zoals leidinggevenden en gebruikers met veel privileges.
  • Toegangsbeheer: Organisaties moeten zorgen voor een sterk wachtwoordbeleid, het gebruik van multifactor-authenticatie (MFA) en een toegangsbeleid op basis van minimale privileges en principes voor cloud-apps.
  • Herstel en back-up: Het beleid voor disaster recovery en back-up van data moet worden bijgewerkt om de schade door ransomware te beperken.
  • Cloudbeveiliging: Er moeten tools worden geïmplementeerd om misbruik van accounts en applicaties van derden op te sporen en te verhelpen.
  • Data Loss Prevention (DLP): Het downloaden van gevoelige data en grootschalige downloads van data naar onbeheerde apparaten moet worden voorkomen om de kans op dubbele chantagetactieken bij ransomware te verkleinen.
Verantwoorde openbaarmaking en discussie
Voorafgaand aan dit onderzoek heeft Proofpoint het openbaarmakingstraject van Microsoft gevolgd en een aantal reacties ontvangen. Microsoft beweert het volgende:
  • De configuratiefunctionaliteit voor versie-instellingen binnen lijsten werkt zoals bedoeld.
  • Oudere versies van bestanden kunnen mogelijk worden hersteld en teruggezet voor nog eens 14 dagen met de hulp van Microsoft Support.
Proofpoint heeft echter geprobeerd om via dit proces (met Microsoft Support) oude versies te herstellen, maar slaagde daar niet in. Ten tweede, zelfs als de configuratie voor versiebeheer is zoals bedoeld, heeft Proofpoint aangetoond dat deze door aanvallers kan worden misbruikt voor cloud ransomware-aanvallen.
 
Meer informatie over hoe Proofpoint cloudaccounts en dataverlies in de cloud kan beschermen, is te vinden op Proofpoint CASB.
 
Lees ook
Onderzoek Venafi onthult bloeiende ransomware-marktplaats op het dark web

Onderzoek Venafi onthult bloeiende ransomware-marktplaats op het dark web

Venafi maakt de resultaten bekend van een dark web-onderzoek naar ransomware die via kwaadaardige macro's wordt verspreid. Venafi en Forensic Pathways, een specialist in criminele inlichtingen, hebben tussen november 2021 en maart 2022 35 miljoen dark web-URL's geanalyseerd van marktplaatsen en forums, met behulp van de Forensic Pathways Dark Search...

Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's

Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's

Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.

Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Als je een IT-beheerder vraagt waar hij van wakker ligt zal het antwoord zeer vaak ‘ransomware’ zijn. Logisch, want elke medewerker kan door simpelweg op een link te klikken of een kwaadaardig bestand te downloaden zonder het te weten een ransomware-aanval ontketenen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om weer toegang...