【安全圈】首个针对SaaS应用的自动化勒索软件攻击
关键词
勒索软件
近日,勒索软件组织Omega成功对某企业使用的SaaS应用(SharPoint Online)发动了勒索攻击,整个攻击(数据泄露)过程高度自动化且没有攻击任何端点。
据报道该事件的网络安全公司Obsidian的创始人Glenn Chisholm介绍,这可能是业界发现的首个针对企业使用的SaaS服务的自动化勒索攻击。
Chisholm指出,对于勒索软件攻击的防护,企业过去依赖端点安全投资,但最新的攻击表明,仅仅确保端点安全还远远不够,因为越来越多的企业在SaaS应用程序中存储和访问数据。
在此次攻击中,攻击者利用了受害企业的安全性较差的SharPoint服务账户凭证(不仅可以通过互联网公开访问,而且没有启用MFA)。并利用SharePoint Online提供的网站集管理功能(多个网站共享管理设置并拥有相同的管理员账户,该功能在拥有多个业务功能和部门的大型企业中很常见),在2小时内批量删除了200个其他管理员账户。
凭借自行分配的权限,攻击者随后使用自动化脚本从受害企业的SharePoint Online库中获取了数百个文件,并将它们发送到与俄罗斯一家Web托管公司相关联的虚拟专用服务器(VPS)主机。
Chisholm表示,Obsidian在过去六个月中观察到的针对企业SaaS环境的攻击比前两年的总和还多。他说,攻击者日益增长的兴趣很大程度上源于这样一个事实,即企业越来越多地将受监管的、机密或敏感信息放入SaaS应用程序中,而没有实施与端点技术相同的控制。
根据AppOmni最新发布的报告,自2023年3月1日以来,针对Salesforce社区站点和其他SaaS应用程序的SaaS攻击增加了300%。主要的攻击途径包括过多的访客权限、过多的对象和字段权限、缺乏MFA以及对敏感数据的过度访问权限。Odaseva去年进行的一项研究显示,48%的受访者表示他们的组织在过去12个月内经历过勒索软件攻击,超过一半的攻击(51%)的目标SaaS数据。
END
阅读推荐
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!