Um equívoco comum entre as empresas e os seus utilizadores leva a crer que os ambientes de nuvem são imunes às ameaças de ransomware. No entanto, numa descoberta recente feita por investigadores da Proofpoint, os agentes maliciosos podem instigar ataques de ransomware explorando as cópias de segurança de versões de ficheiros do Microsoft 365 - disponibilizadas graças à funcionalidade nativa de "gravação automática" de ficheiros da plataforma.
Em termos simples, um cibercriminoso pode encriptar todas as versões conhecidas de um ficheiro, mesmo as que têm cópias de segurança, de uma forma que as torna irreparáveis sem cópias de segurança dedicadas ou uma chave de desencriptação do atacante.
Figura 1. Número de malware encontrado em aplicações SaaS, incluindo o MS Teams
Infelizmente, esta não é a primeira vez que o ransomware atravessa a linha no mundo do Microsoft 365. Há 6 anos atrás, a estirpe de ransomware Cerber tinha como alvo o Microsoft 365 e conseguiu expor milhões de utilizadores com um novo ataque de dia zero que tinha a capacidade de contornar a segurança nativa do Microsoft 365.
Como, pergunta você? Utilizando técnicas semelhantes que ainda hoje são utilizadas: e-mails de phishing com anexos de ficheiros maliciosos, enganar os utilizadores para que permitam conteúdos macro, utilizar aplicações de terceiros como armas e vários outros métodos.
À medida que os serviços em nuvem acumulam um grande número de utilizadores num único ecossistema, tornam-se alvos privilegiados para os cibercriminosos. Imagine os danos que um ataque de ransomware bem concebido pode infligir a um grande segmento de empresas que utilizam todos os serviços do Microsoft 365. Em 2020, como vimos nos primeiros ataques bem-sucedidos à SolarWinds e à Microsoft, os impactos económicos podem ser devastadores.
Como é que estas violações ocorreram?
Os serviços e aplicações na nuvem são mais críticos do que nunca para as empresas. Não é de admirar, portanto, que os criminosos continuem a colocar plataformas na nuvem como o Microsoft 365 na sua mira, sabendo que as vítimas estarão muito mais inclinadas a pagar os resgates. Os vectores de ataque aqui envolvem a exploração de funcionalidades nativas do Microsoft 365 para cópias de segurança na nuvem. As ameaças que "vivem da terra" utilizando ferramentas e parâmetros incorporados são normalmente mais difíceis de mitigar, uma vez que podem ser abusadas mais facilmente e são mais difíceis de detetar e prevenir.
O que é que pode fazer?
Uma combinação de práticas recomendadas pode ajudar a reduzir significativamente o impacto de ataques como este, especialmente quando o vetor de ataque inicial aqui ainda envolve o comprometimento de uma conta Microsoft 365 por aquisição.
As medidas básicas, como forçar o Step-Up e a autenticação multifactor (MFA), aplicar normas de palavras-passe fortes, manter controlos rigorosos de acesso à identidade e investir continuamente em programas de formação de sensibilização dos funcionários, não devem ser descuradas.
Figura 2. Skyhigh Security: Categorias de anomalias para comportamentos detectados
A prevenção direta de tais riscos será sempre um desafio pelas razões acima mencionadas. Por esse motivo, defina gatilhos e parâmetros de anomalia para detetar anomalias e actividades suspeitas que possam ser potencialmente ameaçadoras, tais como acções administrativas anormais ou pedidos de acesso a dados que possam ser sinais de aviso de adulteração dos limites de cópia de segurança da versão e das configurações de gravação automática.
Muitas aplicações de terceiros ligam-se a plataformas SaaS (como o Microsoft 365, neste caso) através de tokens OAuth. Ao contrário dos novos utilizadores que iniciam sessão num ambiente, os tokens OAuth não precisam de se autenticar através de um fornecedor de identidade após a sua concessão inicial. Assim que a aplicação tiver acesso ao Microsoft 365 e aos seus dados através do OAuth, mantém esse acesso indefinidamente até que o acesso seja revogado. Por este motivo, certifique-se de que revoga os tokens e o acesso a aplicações suspeitas que regressem ao seu locatário do Microsoft 365.
As organizações devem sempre planear o pior, adoptando uma mentalidade de "assumir a violação". Assim, em alturas como esta, as cópias de segurança offline nunca são uma má ideia, para além dos procedimentos de recuperação BC/DR testados e comprovados.
Figura 3. Skyhigh Security: Revogar o acesso a aplicações ligadas