Trong một báo cáo được công bố ngày 16/6, các nhà nghiên cứu của Proofpoint tiết lộ rằng, các cuộc tấn công trên đám mây khiến nó có thể khởi chạy mã độc và mã hóa các tệp được lưu trữ trên SharePoint và OneDrive, làm cho các tệp này không thể khôi phục được nếu không có bản sao lưu chuyên dụng, hoặc khóa giải mã từ tin tặc.
Đồng thời, chuỗi lây nhiễm có thể được thực hiện bằng cách sử dụng kết hợp các API của Microsoft, tập lệnh giao diện dòng lệnh (CLI) và tập lệnh PowerShell.
Tấn công này được đặt tên “AutoSave”, nó sẽ tạo ra các bản sao của các phiên bản tệp cũ hơn, khi người dùng thực hiện các chỉnh sửa đối với tệp được lưu trữ trên OneDrive hoặc SharePoint Online.
Để thực hiện cuộc tấn công, tin tặc phải dành được quyền truy cập trái phép vào tài khoản SharePoint Online hoặc OneDrive của người dùng, tiếp theo là lạm dụng quyền truy cập để lọc và mã hóa tệp.
Ba cách phổ biến nhất để tin tặc xâm phạm trực tiếp vào tài khoản Microsoft Office 365 là: các cuộc tấn công lừa đảo, lừa người dùng ủy quyền cho một ứng dụng OAuth của bên thứ ba giả mạo và đánh cắp phiên truy cập web của người dùng đã đăng nhập.
Được biết, OAuth là ứng dụng được tích hợp vào dịch vụ điện toán đám mây và có thể được cung cấp bởi một nhà cung cấp không phải nhà cung cấp dịch vụ đám mây. Các ứng dụng này có thể được sử dụng để mở rộng các dịch vụ đám mây như Microsoft Office 365 hoặc Google Workspace với các chức năng dành cho doanh nghiệp và các cải tiến đối với giao diện người dùng.
Điểm khác biệt giữa cuộc tấn công này với các chiến dịch ransomware thông thường là giai đoạn mã hóa sẽ yêu cầu khóa từng tệp trên SharePoint Online hoặc OneDrive nhiều hơn giới hạn lập phiên bản cho phép.
Minh họa chuỗi tấn công ransomware trên đám mây
Microsoft xây dựng hành vi lập phiên bản trong tài liệu của mình như sau: “Một số tổ chức cho phép các phiên bản tệp không giới hạn và những tổ chức khác áp dụng các giới hạn. Sau khi kiểm tra phiên bản mới nhất của tệp, người dùng có thể phát hiện rằng phiên bản cũ bị thiếu. Nếu phiên bản gần đây nhất là 101.0 và nhận thấy rằng không còn phiên bản 1.0, điều đó có nghĩa là quản trị viên đã cấu hình để chỉ cho phép 100 phiên bản chính của tệp. Việc bổ sung phiên bản thứ 101 khiến phiên bản đầu tiên bị xóa. Dẫn đến chỉ còn lại các phiên bản 2.0 đến 101.0. Tương tự, nếu phiên bản thứ 102 được thêm vào, chỉ còn lại các phiên bản 3.0 đến 102.0”.
Bằng cách tận dụng quyền truy cập vào tài khoản, tin tặc có thể tạo nhiều phiên bản của tệp hoặc giảm số lượng phiên bản tệp xuống "1" và sau đó tiến hành mã hóa dữ liệu từng tệp hai lần. Lúc này, theo các nhà nghiên cứu giải thích: “tất cả các tài liệu gốc sẽ không còn, chỉ còn lại các phiên bản tệp được mã hóa của mỗi tệp trong tài khoản đám mây. Vì thế, tại thời điểm này, tin tặc có thể yêu cầu một khoản tiền chuộc từ các nạn nhân để lấy thông tin về việc mở khóa các tệp”.
Trước những phát hiện này của Proofpoint, Microsoft đã chỉ ra rằng các phiên bản tệp cũ hơn có thể được khôi phục trong vòng 14 ngày và sẽ được hỗ trợ. Tuy nhiên, Proofpoint cho biết họ đã cố gắng khôi phục tệp bằng phương pháp đó nhưng đã không thành công.
Chia sẻ với The Hacker News, người phát ngôn của Microsoft cho biết: "Kỹ thuật này chỉ có thể được thực hiện khi người dùng đã bị xâm phạm hoàn toàn bởi tin tặc. Chúng tôi khuyến cáo khách hàng của mình nên thao tác và sử dụng máy tính được an toàn, bao gồm cả việc thận trọng khi nhấp vào liên kết đến các trang web, mở tệp đính kèm không xác định hoặc chấp nhận truyền tệp dữ liệu”.
Để có thể ngăn chặn các cuộc tấn công như vậy, người dùng nên thiết lập các chính sách mật khẩu mạnh, sử dụng xác thực đa yếu tố (MFA), ngăn tải dữ liệu quy mô lớn xuống các thiết bị không được quản lý và duy trì việc sao lưu định kỳ bên ngoài các tệp đám mây có dữ liệu nhạy cảm.
Về phần mình, Microsoft cho biết họ sẽ lưu ý hơn nữa đến tính năng phát hiện ransomware OneDrive và sẽ thông báo cho người dùng Microsoft 365 về một cuộc tấn công tiềm ẩn, đồng thời cho phép nạn nhân khôi phục tệp của họ.
Gã không lồ công nghệ này cũng đang khuyến khích người dùng nên sử dụng quyền truy cập có điều kiện để chặn hoặc giới hạn quyền truy cập vào nội dung SharePoint và OneDrive từ các thiết bị không được quản lý.
Các nhà nghiên cứu lưu ý rằng: “Các tệp được lưu trữ trên cả điểm cuối và đám mây, chẳng hạn như thông qua các thư mục đồng bộ hóa đám mây sẽ giảm tác động của các cuộc tấn công như trên. Do tin tặc sẽ không có quyền truy cập vào tệp cục bộ hoặc các điểm cuối".
Quốc Trung
12:00 | 29/05/2021
12:00 | 23/09/2022
13:00 | 21/08/2024
14:00 | 14/04/2023
13:00 | 09/05/2023
14:00 | 04/08/2023
11:00 | 03/10/2022
16:00 | 28/11/2022
09:00 | 12/09/2022
10:00 | 07/07/2023
11:00 | 08/04/2024
10:00 | 18/10/2024
Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
16:00 | 19/09/2024
Dưới đây là góc nhìn chuyên môn của các chuyên gia bảo mật Kaspersky về vụ việc của Crowdstrike và dự án XZ Utils, cùng chiến lược mà các tổ chức có thể áp dụng để ứng phó với các cuộc tấn công chuỗi cung ứng.
10:00 | 13/09/2024
Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
