Salte para o conteúdo principal
INTELLIGENCE DIGEST

(Ransom)Onde é que os utilizadores do Microsoft 365 estão agora vulneráveis?

Quem disse que os ambientes em nuvem são imunes a ataques de ransomware?

Por Rodman Ramezanian - Consultor de segurança de nuvem empresarial

3 de agosto de 2022 7 Minute Read

Um equívoco comum entre as empresas e os seus utilizadores leva a crer que os ambientes de nuvem são imunes às ameaças de ransomware. No entanto, numa descoberta recente feita por investigadores da Proofpoint, os agentes maliciosos podem instigar ataques de ransomware explorando as cópias de segurança de versões de ficheiros do Microsoft 365 - disponibilizadas graças à funcionalidade nativa de "gravação automática" de ficheiros da plataforma.

Em termos simples, um cibercriminoso pode encriptar todas as versões conhecidas de um ficheiro, mesmo as que têm cópias de segurança, de uma forma que as torna irreparáveis sem cópias de segurança dedicadas ou uma chave de desencriptação do atacante.

Figura 1. Número de malware encontrado em aplicações SaaS, incluindo o MS Teams

Infelizmente, esta não é a primeira vez que o ransomware atravessa a linha no mundo do Microsoft 365. Há 6 anos atrás, a estirpe de ransomware Cerber tinha como alvo o Microsoft 365 e conseguiu expor milhões de utilizadores com um novo ataque de dia zero que tinha a capacidade de contornar a segurança nativa do Microsoft 365.

Como, pergunta você? Utilizando técnicas semelhantes que ainda hoje são utilizadas: e-mails de phishing com anexos de ficheiros maliciosos, enganar os utilizadores para que permitam conteúdos macro, utilizar aplicações de terceiros como armas e vários outros métodos.

À medida que os serviços em nuvem acumulam um grande número de utilizadores num único ecossistema, tornam-se alvos privilegiados para os cibercriminosos. Imagine os danos que um ataque de ransomware bem concebido pode infligir a um grande segmento de empresas que utilizam todos os serviços do Microsoft 365. Em 2020, como vimos nos primeiros ataques bem-sucedidos à SolarWinds e à Microsoft, os impactos económicos podem ser devastadores.

Como é que estas violações ocorreram?

Os serviços e aplicações na nuvem são mais críticos do que nunca para as empresas. Não é de admirar, portanto, que os criminosos continuem a colocar plataformas na nuvem como o Microsoft 365 na sua mira, sabendo que as vítimas estarão muito mais inclinadas a pagar os resgates. Os vectores de ataque aqui envolvem a exploração de funcionalidades nativas do Microsoft 365 para cópias de segurança na nuvem. As ameaças que "vivem da terra" utilizando ferramentas e parâmetros incorporados são normalmente mais difíceis de mitigar, uma vez que podem ser abusadas mais facilmente e são mais difíceis de detetar e prevenir.

O que é que pode fazer?

Uma combinação de práticas recomendadas pode ajudar a reduzir significativamente o impacto de ataques como este, especialmente quando o vetor de ataque inicial aqui ainda envolve o comprometimento de uma conta Microsoft 365 por aquisição.

As medidas básicas, como forçar o Step-Up e a autenticação multifactor (MFA), aplicar normas de palavras-passe fortes, manter controlos rigorosos de acesso à identidade e investir continuamente em programas de formação de sensibilização dos funcionários, não devem ser descuradas.

Figura 2. Skyhigh Security: Categorias de anomalias para comportamentos detectados

A prevenção direta de tais riscos será sempre um desafio pelas razões acima mencionadas. Por esse motivo, defina gatilhos e parâmetros de anomalia para detetar anomalias e actividades suspeitas que possam ser potencialmente ameaçadoras, tais como acções administrativas anormais ou pedidos de acesso a dados que possam ser sinais de aviso de adulteração dos limites de cópia de segurança da versão e das configurações de gravação automática.

Muitas aplicações de terceiros ligam-se a plataformas SaaS (como o Microsoft 365, neste caso) através de tokens OAuth. Ao contrário dos novos utilizadores que iniciam sessão num ambiente, os tokens OAuth não precisam de se autenticar através de um fornecedor de identidade após a sua concessão inicial. Assim que a aplicação tiver acesso ao Microsoft 365 e aos seus dados através do OAuth, mantém esse acesso indefinidamente até que o acesso seja revogado. Por este motivo, certifique-se de que revoga os tokens e o acesso a aplicações suspeitas que regressem ao seu locatário do Microsoft 365.

As organizações devem sempre planear o pior, adoptando uma mentalidade de "assumir a violação". Assim, em alturas como esta, as cópias de segurança offline nunca são uma má ideia, para além dos procedimentos de recuperação BC/DR testados e comprovados.

Figura 3. Skyhigh Security: Revogar o acesso a aplicações ligadas

 

Utilize Skyhigh Security?

Rodman Ramezanian

Sobre o autor

Rodman Ramezanian

Consultor de segurança da nuvem empresarial

Com mais de 11 anos de vasta experiência no sector da cibersegurança, Rodman Ramezanian é Consultor de Segurança na Nuvem Empresarial, responsável pelo aconselhamento técnico, capacitação, conceção de soluções e arquitetura em Skyhigh Security. Nesta função, Rodman concentra-se principalmente em organizações do governo federal australiano, de defesa e empresariais.

Rodman é especialista nas áreas de Adversarial Threat Intelligence, Cibercrime, Proteção de Dados e Segurança na Nuvem. É um avaliador IRAP aprovado pela Direção de Sinais Australiana (ASD) e possui atualmente as certificações CISSP, CCSP, CISA, CDPSE, Microsoft Azure e MITRE ATT&CK CTI.

Com sinceridade, Rodman tem uma forte paixão por articular assuntos complexos em termos simples, ajudando o cidadão comum e os novos profissionais de segurança a compreender o quê, porquê e como da cibersegurança.

Destaques do ataque

  • Os primeiros passos nos ataques de ransomware na nuvem tendem a envolver tácticas comuns, como campanhas de phishing, ataques de força bruta e/ou aplicações maliciosas de terceiros que tiram partido de tokens OAuth integrados no Microsoft OneDrive/SharePoint
  • Depois de uma conta Microsoft 365 ter sido infiltrada, os ficheiros do utilizador podem ser descobertos em toda a plataforma
  • Os atacantes começam a abusar das funcionalidades nativas "AutoSave" e "Version Control" que criam cópias de segurança na nuvem de versões mais antigas de ficheiros (destinadas a ajudar os utilizadores a recuperar cópias antigas de ficheiros editados)
  • Ao reduzir o número limite da versão da biblioteca de documentos para um dígito inferior, o atacante só precisa de editar muito ligeiramente e depois encriptar o(s) ficheiro(s) mais do que esse limite de versão para tornar o ficheiro inacessível
  • Na ausência de cópias de segurança externas, as vítimas têm de pagar um resgate