Trong một báo cáo được công bố ngày 16/6, các nhà nghiên cứu của Proofpoint tiết lộ rằng, các cuộc tấn công ransomware trên đám mây khiến nó có thể khởi chạy mã độc và mã hóa các tệp được lưu trữ trên SharePoint và OneDrive, làm cho các tệp này không thể khôi phục được nếu không có bản sao lưu chuyên dụng, hoặc khóa giải mã từ tin tặc.
Đồng thời, chuỗi lây nhiễm có thể được thực hiện bằng cách sử dụng kết hợp các API của Microsoft, tập lệnh giao diện dòng lệnh (CLI) và tập lệnh PowerShell.
Tấn công này được đặt tên “AutoSave”, nó sẽ tạo ra các bản sao của các phiên bản tệp cũ hơn, khi người dùng thực hiện các chỉnh sửa đối với tệp được lưu trữ trên OneDrive hoặc SharePoint Online.
Để thực hiện cuộc tấn công, tin tặc phải dành được quyền truy cập trái phép vào tài khoản SharePoint Online hoặc OneDrive của người dùng, tiếp theo là lạm dụng quyền truy cập để lọc và mã hóa tệp.
Ba cách phổ biến nhất để tin tặc xâm phạm trực tiếp vào tài khoản Microsoft Office 365 là: các cuộc tấn công lừa đảo, lừa người dùng ủy quyền cho một ứng dụng OAuth của bên thứ ba giả mạo và đánh cắp phiên truy cập web của người dùng đã đăng nhập.
Được biết, OAuth là ứng dụng được tích hợp vào dịch vụ điện toán đám mây và có thể được cung cấp bởi một nhà cung cấp không phải nhà cung cấp dịch vụ đám mây. Các ứng dụng này có thể được sử dụng để mở rộng các dịch vụ đám mây như Microsoft Office 365 hoặc Google Workspace với các chức năng dành cho doanh nghiệp và các cải tiến đối với giao diện người dùng.
Điểm khác biệt giữa cuộc tấn công này với các chiến dịch ransomware thông thường là giai đoạn mã hóa sẽ yêu cầu khóa từng tệp trên SharePoint Online hoặc OneDrive nhiều hơn giới hạn lập phiên bản cho phép.
Minh họa chuỗi tấn công ransomware trên đám mây
Microsoft xây dựng hành vi lập phiên bản trong tài liệu của mình như sau: “Một số tổ chức cho phép các phiên bản tệp không giới hạn và những tổ chức khác áp dụng các giới hạn. Sau khi kiểm tra phiên bản mới nhất của tệp, người dùng có thể phát hiện rằng phiên bản cũ bị thiếu. Nếu phiên bản gần đây nhất là 101.0 và nhận thấy rằng không còn phiên bản 1.0, điều đó có nghĩa là quản trị viên đã cấu hình để chỉ cho phép 100 phiên bản chính của tệp. Việc bổ sung phiên bản thứ 101 khiến phiên bản đầu tiên bị xóa. Dẫn đến chỉ còn lại các phiên bản 2.0 đến 101.0. Tương tự, nếu phiên bản thứ 102 được thêm vào, chỉ còn lại các phiên bản 3.0 đến 102.0”.
Bằng cách tận dụng quyền truy cập vào tài khoản, tin tặc có thể tạo nhiều phiên bản của tệp hoặc giảm số lượng phiên bản tệp xuống "1" và sau đó tiến hành mã hóa dữ liệu từng tệp hai lần. Lúc này, theo các nhà nghiên cứu giải thích: “tất cả các tài liệu gốc sẽ không còn, chỉ còn lại các phiên bản tệp được mã hóa của mỗi tệp trong tài khoản đám mây. Vì thế, tại thời điểm này, tin tặc có thể yêu cầu một khoản tiền chuộc từ các nạn nhân để lấy thông tin về việc mở khóa các tệp”.
Trước những phát hiện này của Proofpoint, Microsoft đã chỉ ra rằng các phiên bản tệp cũ hơn có thể được khôi phục trong vòng 14 ngày và sẽ được hỗ trợ. Tuy nhiên, Proofpoint cho biết họ đã cố gắng khôi phục tệp bằng phương pháp đó nhưng đã không thành công.
Chia sẻ với The Hacker News, người phát ngôn của Microsoft cho biết: "Kỹ thuật này chỉ có thể được thực hiện khi người dùng đã bị xâm phạm hoàn toàn bởi tin tặc. Chúng tôi khuyến cáo khách hàng của mình nên thao tác và sử dụng máy tính được an toàn, bao gồm cả việc thận trọng khi nhấp vào liên kết đến các trang web, mở tệp đính kèm không xác định hoặc chấp nhận truyền tệp dữ liệu”.
Để có thể ngăn chặn các cuộc tấn công như vậy, người dùng nên thiết lập các chính sách mật khẩu mạnh, sử dụng xác thực đa yếu tố (MFA), ngăn tải dữ liệu quy mô lớn xuống các thiết bị không được quản lý và duy trì việc sao lưu định kỳ bên ngoài các tệp đám mây có dữ liệu nhạy cảm.
Về phần mình, Microsoft cho biết họ sẽ lưu ý hơn nữa đến tính năng phát hiện ransomware OneDrive và sẽ thông báo cho người dùng Microsoft 365 về một cuộc tấn công tiềm ẩn, đồng thời cho phép nạn nhân khôi phục tệp của họ.
Gã không lồ công nghệ này cũng đang khuyến khích người dùng nên sử dụng quyền truy cập có điều kiện để chặn hoặc giới hạn quyền truy cập vào nội dung SharePoint và OneDrive từ các thiết bị không được quản lý.
Các nhà nghiên cứu lưu ý rằng: “Các tệp được lưu trữ trên cả điểm cuối và đám mây, chẳng hạn như thông qua các thư mục đồng bộ hóa đám mây sẽ giảm tác động của các cuộc tấn công như trên. Do tin tặc sẽ không có quyền truy cập vào tệp cục bộ hoặc các điểm cuối".
Quốc Trung
12:00 | 23/09/2022
14:00 | 14/04/2023
12:00 | 29/05/2021
14:00 | 04/08/2023
13:00 | 09/05/2023
11:00 | 03/10/2022
16:00 | 28/11/2022
09:00 | 12/09/2022
10:00 | 07/07/2023
11:00 | 08/04/2024
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
