Trong một báo cáo được công bố ngày 16/6, các nhà nghiên cứu của Proofpoint tiết lộ rằng, các cuộc tấn công ransomware trên đám mây khiến nó có thể khởi chạy mã độc và mã hóa các tệp được lưu trữ trên SharePoint và OneDrive, làm cho các tệp này không thể khôi phục được nếu không có bản sao lưu chuyên dụng, hoặc khóa giải mã từ tin tặc.
Đồng thời, chuỗi lây nhiễm có thể được thực hiện bằng cách sử dụng kết hợp các API của Microsoft, tập lệnh giao diện dòng lệnh (CLI) và tập lệnh PowerShell.
Tấn công này được đặt tên “AutoSave”, nó sẽ tạo ra các bản sao của các phiên bản tệp cũ hơn, khi người dùng thực hiện các chỉnh sửa đối với tệp được lưu trữ trên OneDrive hoặc SharePoint Online.
Để thực hiện cuộc tấn công, tin tặc phải dành được quyền truy cập trái phép vào tài khoản SharePoint Online hoặc OneDrive của người dùng, tiếp theo là lạm dụng quyền truy cập để lọc và mã hóa tệp.
Ba cách phổ biến nhất để tin tặc xâm phạm trực tiếp vào tài khoản Microsoft Office 365 là: các cuộc tấn công lừa đảo, lừa người dùng ủy quyền cho một ứng dụng OAuth của bên thứ ba giả mạo và đánh cắp phiên truy cập web của người dùng đã đăng nhập.
Được biết, OAuth là ứng dụng được tích hợp vào dịch vụ điện toán đám mây và có thể được cung cấp bởi một nhà cung cấp không phải nhà cung cấp dịch vụ đám mây. Các ứng dụng này có thể được sử dụng để mở rộng các dịch vụ đám mây như Microsoft Office 365 hoặc Google Workspace với các chức năng dành cho doanh nghiệp và các cải tiến đối với giao diện người dùng.
Điểm khác biệt giữa cuộc tấn công này với các chiến dịch ransomware thông thường là giai đoạn mã hóa sẽ yêu cầu khóa từng tệp trên SharePoint Online hoặc OneDrive nhiều hơn giới hạn lập phiên bản cho phép.
Minh họa chuỗi tấn công ransomware trên đám mây
Microsoft xây dựng hành vi lập phiên bản trong tài liệu của mình như sau: “Một số tổ chức cho phép các phiên bản tệp không giới hạn và những tổ chức khác áp dụng các giới hạn. Sau khi kiểm tra phiên bản mới nhất của tệp, người dùng có thể phát hiện rằng phiên bản cũ bị thiếu. Nếu phiên bản gần đây nhất là 101.0 và nhận thấy rằng không còn phiên bản 1.0, điều đó có nghĩa là quản trị viên đã cấu hình để chỉ cho phép 100 phiên bản chính của tệp. Việc bổ sung phiên bản thứ 101 khiến phiên bản đầu tiên bị xóa. Dẫn đến chỉ còn lại các phiên bản 2.0 đến 101.0. Tương tự, nếu phiên bản thứ 102 được thêm vào, chỉ còn lại các phiên bản 3.0 đến 102.0”.
Bằng cách tận dụng quyền truy cập vào tài khoản, tin tặc có thể tạo nhiều phiên bản của tệp hoặc giảm số lượng phiên bản tệp xuống "1" và sau đó tiến hành mã hóa dữ liệu từng tệp hai lần. Lúc này, theo các nhà nghiên cứu giải thích: “tất cả các tài liệu gốc sẽ không còn, chỉ còn lại các phiên bản tệp được mã hóa của mỗi tệp trong tài khoản đám mây. Vì thế, tại thời điểm này, tin tặc có thể yêu cầu một khoản tiền chuộc từ các nạn nhân để lấy thông tin về việc mở khóa các tệp”.
Trước những phát hiện này của Proofpoint, Microsoft đã chỉ ra rằng các phiên bản tệp cũ hơn có thể được khôi phục trong vòng 14 ngày và sẽ được hỗ trợ. Tuy nhiên, Proofpoint cho biết họ đã cố gắng khôi phục tệp bằng phương pháp đó nhưng đã không thành công.
Chia sẻ với The Hacker News, người phát ngôn của Microsoft cho biết: "Kỹ thuật này chỉ có thể được thực hiện khi người dùng đã bị xâm phạm hoàn toàn bởi tin tặc. Chúng tôi khuyến cáo khách hàng của mình nên thao tác và sử dụng máy tính được an toàn, bao gồm cả việc thận trọng khi nhấp vào liên kết đến các trang web, mở tệp đính kèm không xác định hoặc chấp nhận truyền tệp dữ liệu”.
Để có thể ngăn chặn các cuộc tấn công như vậy, người dùng nên thiết lập các chính sách mật khẩu mạnh, sử dụng xác thực đa yếu tố (MFA), ngăn tải dữ liệu quy mô lớn xuống các thiết bị không được quản lý và duy trì việc sao lưu định kỳ bên ngoài các tệp đám mây có dữ liệu nhạy cảm.
Về phần mình, Microsoft cho biết họ sẽ lưu ý hơn nữa đến tính năng phát hiện ransomware OneDrive và sẽ thông báo cho người dùng Microsoft 365 về một cuộc tấn công tiềm ẩn, đồng thời cho phép nạn nhân khôi phục tệp của họ.
Gã không lồ công nghệ này cũng đang khuyến khích người dùng nên sử dụng quyền truy cập có điều kiện để chặn hoặc giới hạn quyền truy cập vào nội dung SharePoint và OneDrive từ các thiết bị không được quản lý.
Các nhà nghiên cứu lưu ý rằng: “Các tệp được lưu trữ trên cả điểm cuối và đám mây, chẳng hạn như thông qua các thư mục đồng bộ hóa đám mây sẽ giảm tác động của các cuộc tấn công như trên. Do tin tặc sẽ không có quyền truy cập vào tệp cục bộ hoặc các điểm cuối".
Quốc Trung
12:00 | 23/09/2022
14:00 | 14/04/2023
12:00 | 29/05/2021
14:00 | 04/08/2023
13:00 | 09/05/2023
11:00 | 03/10/2022
16:00 | 28/11/2022
09:00 | 12/09/2022
10:00 | 07/07/2023
11:00 | 08/04/2024
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
