首個針對SaaS應用的自動化勒索軟件攻擊
近日,勒索軟件組織Omega成功對某企業使用的SaaS應用(SharPoint Online)發動了勒索攻擊,整個攻擊(數據泄露)過程高度自動化且沒有攻擊任何端點。
據報道該事件的網絡安全公司Obsidian的創始人Glenn Chisholm介紹,這可能是業界發現的首個針對企業使用的SaaS服務的自動化勒索攻擊。
Chisholm指出,對于勒索軟件攻擊的防護,企業過去依賴端點安全投資,但最新的攻擊表明,僅僅確保端點安全還遠遠不夠,因為越來越多的企業在SaaS應用程序中存儲和訪問數據。
在此次攻擊中,攻擊者利用了受害企業的安全性較差的SharPoint服務賬戶憑證(不僅可以通過互聯網公開訪問,而且沒有啟用MFA)。并利用SharePoint Online提供的網站集管理功能(多個網站共享管理設置并擁有相同的管理員賬戶,該功能在擁有多個業務功能和部門的大型企業中很常見),在2小時內批量刪除了200個其他管理員賬戶。
憑借自行分配的權限,攻擊者隨后使用自動化腳本從受害企業的SharePoint Online庫中獲取了數百個文件,并將它們發送到與俄羅斯一家Web托管公司相關聯的虛擬專用服務器(VPS)主機。
Chisholm表示,Obsidian在過去六個月中觀察到的針對企業SaaS環境的攻擊比前兩年的總和還多。他說,攻擊者日益增長的興趣很大程度上源于這樣一個事實,即企業越來越多地將受監管的、機密或敏感信息放入SaaS應用程序中,而沒有實施與端點技術相同的控制。
根據AppOmni最新發布的報告,自2023年3月1日以來,針對Salesforce社區站點和其他SaaS應用程序的SaaS攻擊增加了300%。主要的攻擊途徑包括過多的訪客權限、過多的對象和字段權限、缺乏MFA以及對敏感數據的過度訪問權限。Odaseva去年進行的一項研究顯示,48%的受訪者表示他們的組織在過去12個月內經歷過勒索軟件攻擊,超過一半的攻擊(51%)的目標SaaS數據。
