首個針對SaaS應用的自動化勒索軟件攻擊

近日，勒索軟件組織Omega成功對某企業使用的SaaS應用（SharPoint Online）發動了勒索攻擊，整個攻擊（數據泄露）過程高度自動化且沒有攻擊任何端點。

據報道該事件的網絡安全公司Obsidian的創始人Glenn Chisholm介紹，這可能是業界發現的首個針對企業使用的SaaS服務的自動化勒索攻擊。

Chisholm指出，對于勒索軟件攻擊的防護，企業過去依賴端點安全投資，但最新的攻擊表明，僅僅確保端點安全還遠遠不夠，因為越來越多的企業在SaaS應用程序中存儲和訪問數據。

在此次攻擊中，攻擊者利用了受害企業的安全性較差的SharPoint服務賬戶憑證（不僅可以通過互聯網公開訪問，而且沒有啟用MFA）。并利用SharePoint Online提供的網站集管理功能（多個網站共享管理設置并擁有相同的管理員賬戶，該功能在擁有多個業務功能和部門的大型企業中很常見），在2小時內批量刪除了200個其他管理員賬戶。

憑借自行分配的權限，攻擊者隨后使用自動化腳本從受害企業的SharePoint Online庫中獲取了數百個文件，并將它們發送到與俄羅斯一家Web托管公司相關聯的虛擬專用服務器(VPS)主機。

Chisholm表示，Obsidian在過去六個月中觀察到的針對企業SaaS環境的攻擊比前兩年的總和還多。他說，攻擊者日益增長的興趣很大程度上源于這樣一個事實，即企業越來越多地將受監管的、機密或敏感信息放入SaaS應用程序中，而沒有實施與端點技術相同的控制。

根據AppOmni最新發布的報告，自2023年3月1日以來，針對Salesforce社區站點和其他SaaS應用程序的SaaS攻擊增加了300%。主要的攻擊途徑包括過多的訪客權限、過多的對象和字段權限、缺乏MFA以及對敏感數據的過度訪問權限。Odaseva去年進行的一項研究顯示，48%的受訪者表示他們的組織在過去12個月內經歷過勒索軟件攻擊，超過一半的攻擊(51%)的目標SaaS數據。