Die IT-Sicherheitsforscher von Proofpoint sind über eine Funktion von Microsofts 365 respektive Office 365 gestolpert, im Speziellen in OneDrive und SharePoint, die es Angreifern erleichtert, Daten zu verschlüsseln. Oftmals gehen Nutzer und Administratoren davon aus, dass derartige Cloud-Speicher davor sicher seien, da durch die Versionskontrolle Backups der Daten vorliegen. In einem Blog-Beitrag schreiben die IT-Analysten, dass Ransomware-Angriffe bislang im Wesentlichen auf Endgeräte und Netzlaufwerke abzielten. Dies könne sich ändern, da Angreifer die Anzahl der vorgehaltenen Versionen auf den Cloud-Systemen herabsetzen können. Die IT-Forscher beschreiben folgendes Angriffsszenario:
- Initialen Zugriff erlangen: Die Angreifer müssen zunächst Zugriff auf einen oder mehrere SharePoint-Online oder OneDrive-Konten erhalten, indem sie Nutzeridentitäten kompromittieren oder übernehmen – etwa mittels Phishing.
- Kontenübernahme und -Ausforschung: Die Angreifer haben nun Zugriff auf jede Datei, die dem gekaperten Benutzerkonto gehört oder auch via OAuth-basierter Anwendungen von Drittherstellern erreichbar ist.
- Sammlung und Exfiltration: Die Angreifer reduzieren die Anzahl an vorzuhaltenden Versionen auf einen niedrigen Wert, beispielsweise 1. Jetzt müssen sie die Datei lediglich zweimal verschlüsseln, sodass das Opfer kein brauchbares Backup in der Cloud mehr hat. Hier unterscheidet sich der Ransomware-Angriff von der bislang üblichen Endpoint-basierten Fassung. Vor der Verschlüsselung könnten die Cyberkriminellen die Daten auch noch kopieren, um gegebenenfalls eine Doppelstrategie zur Erpressung zu nutzen.
- Monetarisierung: Da nun alle Dateiversionen vor dem Angriff verloren sind und nur noch die verschlüsselten Fassungen vorliegen, können die Angreifer die Organisation um Lösegeld erpressen.
Ähnlich sieht ein potenzieller Angriff auf Listen und Dokumentenbibliotheken in SharePoint aus. Proofpoint schreibt, dass das Unternehmen Microsoft diesbezüglich kontaktiert habe. Microsoft antwortete demzufolge, dass die Funktion wie gewünscht arbeite und potenzielle Opfer mithilfe des Supports bis zu 14 Tage nach einem Angriff möglicherweise noch ältere Dateiversionen wiederherstellen könnten. Das habe Proofpoint exemplarisch probiert, allerdings scheiterte dieser Wiederherstellungsversuch. IT-Verantwortliche sollten in ihren IT-Sicherheitsplänen daher berücksichtigen, dass die Cloud-Systeme etwa von Microsoft im Zweifel keine verlässliche Datensicherung umfassen. Sie sollten die dort abgelegten Dokumente, Listen und Dateien anderweitig in die Backup-Strategie aufnehmen und berücksichtigen.