Ein weit verbreiteter Irrglaube unter Unternehmen und ihren Nutzern führt zu der Annahme, dass Cloud-Umgebungen immun gegen Ransomware-Bedrohungen sind. Wie die Forscher von Proofpoint jedoch kürzlich herausgefunden haben, können böswillige Akteure Ransomware-Angriffe starten, indem sie Backups der Dateiversionen von Microsoft 365 ausnutzen, die dank der plattformeigenen Funktion zum automatischen Speichern von Dateien verfügbar sind.
Vereinfacht gesagt, kann ein Cyberkrimineller alle bekannten Versionen einer Datei verschlüsseln, auch die gesicherten, und zwar so, dass sie ohne spezielle Backups oder einen Entschlüsselungsschlüssel des Angreifers irreparabel sind.
Abbildung 1. Anzahl der in SaaS-Anwendungen gefundenen Malware, einschließlich MS Teams
Leider ist dies nicht das erste Mal, dass Ransomware die Grenze zur Welt von Microsoft 365 überschritten hat. Vor nunmehr 6 Jahren hatte es der Ransomware-Stamm Cerber auf Microsoft 365 abgesehen und schaffte es, Millionen von Nutzern mit einem neuartigen Zero-Day-Angriff anzugreifen, der in der Lage war, die systemeigene Sicherheit von Microsoft 365 zu umgehen.
Wie, fragen Sie? Mit ähnlichen Techniken, die auch heute noch verwendet werden: Phishing-E-Mails mit bösartigen Dateianhängen, Benutzer dazu bringen, Makro-Inhalte zuzulassen, Anwendungen von Drittanbietern als Waffe einzusetzen und verschiedene andere Methoden.
Da Cloud-Dienste eine große Anzahl von Nutzern in einem einzigen Ökosystem zusammenfassen, werden sie zu einem bevorzugten Ziel für Cyberkriminelle. Stellen Sie sich nur den Schaden vor, den ein gut durchdachter Ransomware-Angriff einem großen Teil der Unternehmen zufügen kann, die alle Microsoft 365-Dienste nutzen. Wie wir bei den ersten erfolgreichen Angriffen auf SolarWinds und Microsoft im Jahr 2020 gesehen haben, haben die wirtschaftlichen Auswirkungen das Potenzial, verheerend zu sein.
Wie kam es zu diesen Verstößen?
Cloud-Dienste und -Anwendungen sind für Unternehmen geschäftskritischer denn je. Kein Wunder also, dass kriminelle Akteure Cloud-Plattformen wie Microsoft 365 immer wieder ins Fadenkreuz nehmen, denn sie wissen, dass die Opfer viel eher bereit sind, Lösegeld zu zahlen. Der Angriffsvektor besteht in der Ausnutzung der nativen Microsoft 365-Funktionen für Cloud-Backups. Bedrohungen, die mit integrierten Tools und Parametern "von der Stange" leben, sind in der Regel schwieriger zu entschärfen, da sie leichter missbraucht werden können und schwieriger zu erkennen und zu verhindern sind.
Was kann man tun?
Eine Kombination von Best Practices kann dazu beitragen, die Auswirkungen solcher Angriffe erheblich zu reduzieren, insbesondere wenn der ursprüngliche Angriffsvektor hier immer noch die Kompromittierung eines Microsoft 365-Kontos durch Übernahme beinhaltet.
Grundlegende Maßnahmen wie die Erzwingung von Step-Up und Multi-Faktor-Authentifizierung (MFA), die Durchsetzung strenger Passwortstandards, die Beibehaltung strenger Identitätszugangskontrollen und kontinuierliche Investitionen in Schulungsprogramme für Mitarbeiter sollten nicht außer Acht gelassen werden.
Abbildung 2. Skyhigh Security: Anomaliekategorien für erkannte Verhaltensweisen
Die direkte Vermeidung solcher Risiken wird aus den oben genannten Gründen immer eine Herausforderung sein. Legen Sie daher Auslöser und Anomalie-Parameter fest, um verdächtige Ausreißer und Aktivitäten zu erkennen, die potenziell bedrohlich sind, wie z.B. abnormale administrative Aktionen oder Datenzugriffsanfragen, die Warnsignale für die Manipulation von Versionssicherungsgrenzen und AutoSave-Konfigurationen sein können.
Viele Anwendungen von Drittanbietern verbinden sich mit SaaS-Plattformen (wie in diesem Fall Microsoft 365) über OAuth-Tokens. Im Gegensatz zu neuen Benutzern, die sich bei einer Umgebung anmelden, müssen sich OAuth-Tokens nach ihrer ersten Gewährung nicht über einen Identitätsanbieter authentifizieren. Sobald die App über OAuth Zugriff auf Microsoft 365 und seine Daten hat, behält sie diesen Zugriff auf unbestimmte Zeit bei, bis der Zugriff widerrufen wird. Stellen Sie daher sicher, dass Sie Token und Zugriff auf verdächtige Apps, die in Ihre Microsoft 365-Tenancy zurückreichen, widerrufen.
Unternehmen sollten immer für das Schlimmste planen, indem sie sich auf den Fall des Falles einstellen. Daher sind in Zeiten wie diesen Offline-Backups zusätzlich zu den bewährten BC/DR-Wiederherstellungsverfahren nie eine schlechte Idee.
Abbildung 3. Skyhigh Security: Zugriff auf verbundene Apps widerrufen