針對SaaS應用程式的自動化勒索軟體攻擊出現

2023 / 06 / 19

編輯部

近日勒索軟體組織Omega成功對某企業使用的SaaS協作平台SharPoint Online發動了勒索攻擊，整個攻擊過程高度自動化且沒有攻擊任何端點。

據報導該事件的網路安全公司Obsidian表示，這可能是業界發現的首個針對企業使用的SaaS服務的自動化勒索攻擊。

Obsidian指出，對於勒索軟體攻擊防護，企業過去依賴端點安全投資，但最新的攻擊表明，僅僅保護端點安全還不夠，因為越來越多的企業在SaaS應用程式中存取資料。

在此次攻擊中，攻擊者利用了受害企業安全性較差的SharPoint服務帳戶憑證，不僅可以公開線上存取，而且沒有啟用MFA(多因子認證）。並利用SharePoint Online提供的網站集合管理功能（多個網站共用管理設置並擁有相同的管理員帳戶，該功能在擁有多個業務功能和部門的大型企業中很常見），在2小時內大量刪除了200個其他管理員帳戶。

憑藉自行分配的許可權，攻擊者隨後使用自動化腳本從受害企業的SharePoint Online資料庫中竊取了數百個檔案。

Obsidian在過去六個月中觀察到針對企業SaaS環境的攻擊比前兩年的總和還多。他說，攻擊者日益增長的興趣很大程度上源於這樣一個事實，即企業越來越多地將受監管的、機密或敏感資訊放入SaaS應用程式中，而沒有實施與端點技術相同的控制。

根據AppOmni報告，自2023年3月1日以來，針對Salesforce網站和其他SaaS應用程式的SaaS攻擊增加了300%。主要的攻擊途徑包括過多的訪客許可權、過多的物件和欄位許可權、缺乏MFA以及對敏感性資料的過度存取權限。去年進行的一項研究顯示，48%的受訪者表示他們的組織在過去12個月內經歷過勒索軟體攻擊，超過一半的攻擊目標是SaaS資料。

本文轉載自obsidiansecurity.com。

SaaS SharePoint MFA 勒索軟體攻擊