Trong một báo cáo được công bố ngày 16/6, các nhà nghiên cứu của Proofpoint tiết lộ rằng, các cuộc tấn công ransomware trên đám mây khiến nó có thể khởi chạy mã độc và mã hóa các tệp được lưu trữ trên SharePoint và OneDrive, làm cho các tệp này không thể khôi phục được nếu không có bản sao lưu chuyên dụng, hoặc khóa giải mã từ tin tặc.
Đồng thời, chuỗi lây nhiễm có thể được thực hiện bằng cách sử dụng kết hợp các API của Microsoft, tập lệnh giao diện dòng lệnh (CLI) và tập lệnh PowerShell.
Tấn công này được đặt tên “AutoSave”, nó sẽ tạo ra các bản sao của các phiên bản tệp cũ hơn, khi người dùng thực hiện các chỉnh sửa đối với tệp được lưu trữ trên OneDrive hoặc SharePoint Online.
Để thực hiện cuộc tấn công, tin tặc phải dành được quyền truy cập trái phép vào tài khoản SharePoint Online hoặc OneDrive của người dùng, tiếp theo là lạm dụng quyền truy cập để lọc và mã hóa tệp.
Ba cách phổ biến nhất để tin tặc xâm phạm trực tiếp vào tài khoản Microsoft Office 365 là: các cuộc tấn công lừa đảo, lừa người dùng ủy quyền cho một ứng dụng OAuth của bên thứ ba giả mạo và đánh cắp phiên truy cập web của người dùng đã đăng nhập.
Được biết, OAuth là ứng dụng được tích hợp vào dịch vụ điện toán đám mây và có thể được cung cấp bởi một nhà cung cấp không phải nhà cung cấp dịch vụ đám mây. Các ứng dụng này có thể được sử dụng để mở rộng các dịch vụ đám mây như Microsoft Office 365 hoặc Google Workspace với các chức năng dành cho doanh nghiệp và các cải tiến đối với giao diện người dùng.
Điểm khác biệt giữa cuộc tấn công này với các chiến dịch ransomware thông thường là giai đoạn mã hóa sẽ yêu cầu khóa từng tệp trên SharePoint Online hoặc OneDrive nhiều hơn giới hạn lập phiên bản cho phép.
Minh họa chuỗi tấn công ransomware trên đám mây
Microsoft xây dựng hành vi lập phiên bản trong tài liệu của mình như sau: “Một số tổ chức cho phép các phiên bản tệp không giới hạn và những tổ chức khác áp dụng các giới hạn. Sau khi kiểm tra phiên bản mới nhất của tệp, người dùng có thể phát hiện rằng phiên bản cũ bị thiếu. Nếu phiên bản gần đây nhất là 101.0 và nhận thấy rằng không còn phiên bản 1.0, điều đó có nghĩa là quản trị viên đã cấu hình để chỉ cho phép 100 phiên bản chính của tệp. Việc bổ sung phiên bản thứ 101 khiến phiên bản đầu tiên bị xóa. Dẫn đến chỉ còn lại các phiên bản 2.0 đến 101.0. Tương tự, nếu phiên bản thứ 102 được thêm vào, chỉ còn lại các phiên bản 3.0 đến 102.0”.
Bằng cách tận dụng quyền truy cập vào tài khoản, tin tặc có thể tạo nhiều phiên bản của tệp hoặc giảm số lượng phiên bản tệp xuống "1" và sau đó tiến hành mã hóa dữ liệu từng tệp hai lần. Lúc này, theo các nhà nghiên cứu giải thích: “tất cả các tài liệu gốc sẽ không còn, chỉ còn lại các phiên bản tệp được mã hóa của mỗi tệp trong tài khoản đám mây. Vì thế, tại thời điểm này, tin tặc có thể yêu cầu một khoản tiền chuộc từ các nạn nhân để lấy thông tin về việc mở khóa các tệp”.
Trước những phát hiện này của Proofpoint, Microsoft đã chỉ ra rằng các phiên bản tệp cũ hơn có thể được khôi phục trong vòng 14 ngày và sẽ được hỗ trợ. Tuy nhiên, Proofpoint cho biết họ đã cố gắng khôi phục tệp bằng phương pháp đó nhưng đã không thành công.
Chia sẻ với The Hacker News, người phát ngôn của Microsoft cho biết: "Kỹ thuật này chỉ có thể được thực hiện khi người dùng đã bị xâm phạm hoàn toàn bởi tin tặc. Chúng tôi khuyến cáo khách hàng của mình nên thao tác và sử dụng máy tính được an toàn, bao gồm cả việc thận trọng khi nhấp vào liên kết đến các trang web, mở tệp đính kèm không xác định hoặc chấp nhận truyền tệp dữ liệu”.
Để có thể ngăn chặn các cuộc tấn công như vậy, người dùng nên thiết lập các chính sách mật khẩu mạnh, sử dụng xác thực đa yếu tố (MFA), ngăn tải dữ liệu quy mô lớn xuống các thiết bị không được quản lý và duy trì việc sao lưu định kỳ bên ngoài các tệp đám mây có dữ liệu nhạy cảm.
Về phần mình, Microsoft cho biết họ sẽ lưu ý hơn nữa đến tính năng phát hiện ransomware OneDrive và sẽ thông báo cho người dùng Microsoft 365 về một cuộc tấn công tiềm ẩn, đồng thời cho phép nạn nhân khôi phục tệp của họ.
Gã không lồ công nghệ này cũng đang khuyến khích người dùng nên sử dụng quyền truy cập có điều kiện để chặn hoặc giới hạn quyền truy cập vào nội dung SharePoint và OneDrive từ các thiết bị không được quản lý.
Các nhà nghiên cứu lưu ý rằng: “Các tệp được lưu trữ trên cả điểm cuối và đám mây, chẳng hạn như thông qua các thư mục đồng bộ hóa đám mây sẽ giảm tác động của các cuộc tấn công như trên. Do tin tặc sẽ không có quyền truy cập vào tệp cục bộ hoặc các điểm cuối".
Quốc Trung
12:00 | 29/05/2021
12:00 | 23/09/2022
13:00 | 21/08/2024
14:00 | 14/04/2023
13:00 | 09/05/2023
14:00 | 04/08/2023
11:00 | 03/10/2022
16:00 | 28/11/2022
09:00 | 12/09/2022
10:00 | 07/07/2023
11:00 | 08/04/2024
14:00 | 24/10/2024
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024