Хакерам 0mega удалось провести успешную вымогательскую атаку без компрометации конечных точек организации-жертвы

Исследователи компании Obsidian обнаружили занимательный киберинцидент, произошедший совсем недавно. Группа киберпреступников 0mega совершила успешную вымогательскую атаку на среду SharePoint Online одной из неназванных компаний, не используя компрометацию конкретных конечных точек и специализированного вымогательского софта, как это обычно происходит в таких случаях.

Вместо этого злоумышленники воспользовались слабозащищённой учётной записью администратора для проникновения в среду жертвы, повышения привилегий и, в конечном итоге, похищения конфиденциальных данных из библиотек SharePoint. Украденные данные были затем использованы для шантажа организации-жертвы и требования выкупа.

«Атака заслуживает внимания, потому что большинство усилий предприятий по борьбе с угрозой вымогательского ПО обычно сконцентрированы на механизмах защиты конечных точек при помощи EDR-решений», - заявил Гленн Чисхолм, сооснователь и директор по продуктам компании Obsidian.

«Компании пытаются предотвратить или смягчить атаки групп вымогателей полностью через инвестиции в безопасность конечных точек. Когда как эта атака показывает, что безопасности конечных точек недостаточно, так как многие компании теперь хранят и получают доступ к данным в облачных приложениях SaaS, функционирующих по подписке», - объяснил Чисхолм.

Атака, которую наблюдала Obsidian, началась с того, что один из хакеров группы 0mega получил слабозащищённые данные служебной учётной записи одного из глобальных администраторов Microsoft SharePoint организации-жертвы. Скомпрометированная учётная запись была доступна из публичного Интернета и не имела включенной двухфакторной аутентификации (MFA), что большинство экспертов по безопасности считают базовой необходимостью, особенно для привилегированных учётных записей.

Злоумышленники использовали скомпрометированную учётную запись для создания пользователя Active Directory с довольно наглым и дерзким названием «0mega», а затем предоставили новой учётной записи все разрешения, необходимые для создания хаоса в среде SharePoint.

Так как исходная учётная запись администратора обладала целым рядом различных привилегий, злоумышленники получили административные полномочия и в других средах Microsoft организации-жертвы, включая Exchange и Teams. Кроме того, они были способны удалять уже существующих администраторов в данных средах, чем и воспользовались без лишних раздумий, удалив аккаунты около 200 администраторов.

Вооружившись самоприсвоенными привилегиями, злоумышленники вскоре завладели сотнями файлов из библиотек SharePoint Online целевой организации и отправили их на свой VPS-сервер. Для облегчения экспорта хакеры использовали общедоступный модуль Node.js под названием «sppull», который, в том числе, позволяет взаимодействовать с ресурсами SharePoint с помощью HTTP-запросов. Как описывают модуль его разработчики, sppull – это «простой клиент для извлечения и загрузки файлов из среды SharePoint».

После завершения экспорта атакующие использовали другой модуль node.js под названием «got» для загрузки тысяч текстовых записок в среду SharePoint жертвы, которые по сути сообщали организации о том, что произошло.

«Обычно при атаках на среды SaaS группы вымогателей компрометируют конкретную конечную точку, а затем шифруют или экспортируют файлы, используя затем боковое перемещение по мере необходимости», - напомнил эксперт Obsidian.

«В этой кампании злоумышленники использовали скомпрометированные учётные данные для входа в SharePoint Online, предоставили административные привилегии новосозданной учётной записи и затем автоматизировали экспорт данных из неё с помощью скриптов на арендованном хосте. Вся атака была выполнена без компрометации конечных точек или использования исполняемых файлов вымогательского ПО», - подробно объяснил Чисхолм.

«Насколько нам известно, это первый публично зафиксированный случай автоматизированного вымогательства в средах SaaS», - добавил эксперт.

Obsidian также сообщила, что за последние шесть месяцев наблюдала больше атак на корпоративные среды SaaS, чем за предыдущие два года вместе взятые. Большая часть растущего интереса злоумышленников происходит из того факта, что организации всё чаще помещают регулируемую, конфиденциальную и другую чувствительную информацию в приложения SaaS без реализации тех же мер безопасности, что и при защите конечных узлов.

«Чтобы избежать подобных компрометаций, организации должны быть готовы обеспечить наличие правильных инструментов проактивного управления рисками во всей своей среде SaaS», - заключил Чисхолм.