Vulnerabilidades de SharePoint y OneDrive: nuevas infraestructuras en la nube, objetivos de ransomware

Investigación realizada por punto de prueba demostrar que los agentes de ransomware ahora pueden iniciar ataques contra la infraestructura de la nube organizaciones

Los investigadores se centraron en dos de las aplicaciones empresariales en la nube más populares: SharePoint Online y OneDrive – y descubrió una característica potencialmente peligrosa en Office 365 o Microsoft 365.

Este último permite que el ransomware cifre archivos almacenados en estas aplicaciones de una manera que los hace irrecuperable sin copias de seguridad dedicadas o la clave de descifrado de un atacante.

Los pasos del ataque son los siguientes:

1. Acceso inicial: Obtenga acceso a las cuentas de SharePoint Online o OneDrive de uno o más usuarios al comprometer o apropiarse indebidamente de la identidad del usuario.
2. Control de cuentas y descubrimiento: El atacante ahora tiene acceso a cualquier archivo propiedad del usuario que esté comprometido o controlado por la aplicación OAuth de terceros (que también incluye la cuenta OneDrive del usuario).
3. Recolección y exfiltración: Reduzca el límite de la cantidad de versiones posibles del archivo a un número pequeño (por ejemplo, 1) y luego cifre el archivo más veces que el límite de la versión, en este caso dos veces. Este paso es exclusivo del ransomware en la nube en comparación con una cadena de ataque típica de los sistemas perimetrales. En algunos casos, el atacante puede exfiltrar archivos sin cifrar como parte de una táctica de doble extorsión.
4. Monetización: A partir de ese momento, todas las versiones originales (antes del ataque) de los archivos se pierden, quedando solo las versiones cifradas de cada archivo en la cuenta de la nube. En este punto, el atacante puede exigir un rescate de la organización.