Proofpoint ontdekt Microsoft Office 365-functionaliteit die bestanden op SharePoint en OneDrive versleutelt

proofpoint

Ransomware-aanvallen zijn van oudsher gericht op data op endpoints of netwerkschijven. Tot nu toe dachten IT- en beveiligingsteams dat de cloud beter bestand was tegen ransomware-aanvallen. Immers, de nu bekende "AutoSave"-functie, samen met versiebeheer en de welbekende prullenbak, zouden voldoende moeten zijn geweest als back-ups. Dat is mogelijk echter verleden tijd.
 
Proofpoint heeft een mogelijk gevaarlijk stukje functionaliteit in Office 365 of Microsoft 365 ontdekt. Hiermee kan ransomware bestanden die zijn opgeslagen op SharePoint en OneDrive versleutelen op een manier waardoor ze onherstelbaar zijn zonder speciale back-ups of een decryptiesleutel van de aanvaller.
 
Het onderzoek richtte zich op twee van de populairste cloud-apps voor bedrijven - SharePoint Online en OneDrive binnen de Microsoft 365- en Office 365-suites. Hieruit blijkt dat ransomware-actoren zich nu richten op data van organisaties in de cloud en aanvallen kunnen uitvoeren op cloud-infrastructuur. 
 
Aanvalsketen voor ransomware in de cloud
Het Proofpoint-team heeft de aanvalsketen in kaart gebracht en de onderstaande stappen gedocumenteerd. Eenmaal uitgevoerd, versleutelt de aanval de bestanden in de accounts van de gecompromitteerde gebruikers. Net als bij endpoint ransomware kunnen die bestanden vervolgens alleen worden teruggehaald met decryptiesleutels.
  1. Toegang wordt verkregen tot de SharePoint Online- of OneDrive-accounts van een of meer gebruikers door de identiteit van gebruikers te compromitteren of over te nemen.
  2. De aanvaller heeft nu toegang tot elk bestand van de gecompromitteerde gebruiker of OAuth-applicatie (waaronder ook het OneDrive-account van de gebruiker).
  3. De versielimiet van bestanden wordt verlaagd tot een laag getal zoals 1. Vervolgens wordt het bestand vaker dan de versielimiet versleuteld, in dit geval twee keer. Deze stap is uniek voor cloud ransomware in vergelijking met de aanvalsketen voor endpoint ransomware.
  4. Nu zijn alle originele versies van de bestanden verloren gegaan, waardoor alleen de versleutelde versies van elk bestand in het cloudaccount overblijven. Nu kan de aanvaller losgeld vragen aan de organisatie.
Versiebeheer van documentbibliotheken
Elke documentbibliotheek in SharePoint Online en OneDrive heeft een configureerbare instelling voor het aantal opgeslagen versies, die de eigenaar van de website kan wijzigen, ongeacht zijn of haar andere rollen. Ze hoeven dus geen beheerdersrol of bijbehorende privileges te hebben.
 
Wanneer de versielimiet van de documentbibliotheek wordt verlaagd, zullen verdere wijzigingen aan de bestanden in de documentbibliotheek ertoe leiden dat oudere versies zeer moeilijk te herstellen zijn. Er zijn twee manieren om het versiebeheer te misbruiken voor kwaadwillende doeleinden. Dat kan door te veel versies van een bestand te maken of door de versielimieten van een documentbibliotheek te verlagen, waarbij de laatste methode zowel makkelijker als doeltreffender is.
 
Bescherming van de organisatie en gevoelige data
Gelukkig zijn veel van de best practices die gelden voor endpoint ransomware ook van toepassing als het gaat om het beschermen van cloudomgevingen.
 
Ten eerste dient detectie van riskante wijzigingen in bestandsconfiguratie te worden ingeschakeld voor Office 365-accounts. Hoewel een gebruiker per ongeluk de instelling kan wijzigen, is dit niet gebruikelijk. Als gebruikers dit onbewust hebben gedaan, moeten ze hierop worden gewezen en worden gevraagd de versielimiet te verhogen. Dit verkleint het risico dat een aanvaller gebruikers compromitteert en gebruik maakt van de toch al lage versielimieten.
 
Ten tweede moet de veiligheidshygiëne rond ransomware worden verbeterd, met een focus op:
  • Very Attacked People (VAP's): De gebruikers die het vaakst te maken krijgen met cloud-, e-mail- en webaanvallen moeten in kaart gebracht worden en het moet prioriteit krijgen om hen beter te beschermen. Deze gebruikers zijn niet per definitie de meest senior werknemers, zoals leidinggevenden en gebruikers met veel privileges.
  • Toegangsbeheer: Organisaties moeten zorgen voor een sterk wachtwoordbeleid, het gebruik van multifactor-authenticatie (MFA) en een toegangsbeleid op basis van minimale privileges en principes voor cloud-apps.
  • Herstel en back-up: Het beleid voor disaster recovery en back-up van data moet worden bijgewerkt om de schade door ransomware te beperken.
  • Cloudbeveiliging: Er moeten tools worden geïmplementeerd om misbruik van accounts en applicaties van derden op te sporen en te verhelpen.
  • Data Loss Prevention (DLP): Het downloaden van gevoelige data en grootschalige downloads van data naar onbeheerde apparaten moet worden voorkomen om de kans op dubbele chantagetactieken bij ransomware te verkleinen.
Verantwoorde openbaarmaking en discussie
Voorafgaand aan dit onderzoek heeft Proofpoint het openbaarmakingstraject van Microsoft gevolgd en een aantal reacties ontvangen. Microsoft beweert het volgende:
  • De configuratiefunctionaliteit voor versie-instellingen binnen lijsten werkt zoals bedoeld.
  • Oudere versies van bestanden kunnen mogelijk worden hersteld en teruggezet voor nog eens 14 dagen met de hulp van Microsoft Support.
Proofpoint heeft echter geprobeerd om via dit proces (met Microsoft Support) oude versies te herstellen, maar slaagde daar niet in. Ten tweede, zelfs als de configuratie voor versiebeheer is zoals bedoeld, heeft Proofpoint aangetoond dat deze door aanvallers kan worden misbruikt voor cloud ransomware-aanvallen.
 
Meer informatie over hoe Proofpoint cloudaccounts en dataverlies in de cloud kan beschermen, is te vinden op Proofpoint CASB.
 
Meer over
Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s1

TA866 keert terug in grootschalige e-mailcampagne

TA866 keert terug in grootschalige e-mailcampagne

Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.