เมนู

พบผู้บุกรุกใช้ฟีเจอร์ Microsoft 365
ทำให้แรนซัมแวร์เรียกค่าไถ่บนคลาวด์ได้

2022-06-22 Office 265 (1040)

พบฟังก์ชันการทำงานบางอย่างบน Microsoft 365 suite ที่ช่วยให้ผู้โจมตีสามารถเข้ารหัสไฟล์ข้อมูลบนคลาวด์ ในการใช้งาน SharePoint และ OneDrive

22 มิถุนายน 2565

📌 พบฟังก์ชันการทำงานบางอย่างบน Microsoft 365 suite ที่อาจช่วยให้ผู้โจมตีสามารถเข้ารหัสไฟล์ข้อมูลบนคลาวด์ ในการใช้งาน SharePoint และ OneDrive 💻
 
💭 การโจมตีด้วยแรนซัมแวร์บนคลาวด์ในครั้งนี้ ทำให้ผู้โจมตีสามารถเข้ารหัสไฟล์ที่ถูกเก็บไว้ใน SharePoint และ OneDrive ทำผู้ใช้จะไม่สามารถกู้คืนข้อมูลได้หากปราศจากข้อมูลสำรอง หรือคีย์ถอดรหัส 🔑
 
🦠 ในการโจมตีสามารถใช้งาน Microsoft APIs, command-line interface (CLI) scripts และ PowerShell scripts ซึ่งการทำงานจะขึ้นอยู่กับฟีเจอร์ของ Microsoft 365 ในการบันทึกข้อมูลอัตโนมัติ (AutoSave) ที่จะสร้างสำเนาของไฟล์เวอร์ชันเก่าเมื่อผู้ใช้ทำการแก้ไขไฟล์ข้อมูลที่ถูกจัดเก็บไว้ใน OneDrive หรือ SharePoint Online 🌐
 
📍 เริ่มจากที่ผู้โจมตีมีการเข้าใช้งานข้อมูลโดยไม่ได้รับอนุญาตในส่วนของไฟล์ SharePoint Online หรือ OneDrive ของผู้ใช้งานเพื่อทำการแตกไฟล์ และเข้ารหัสไฟล์ข้อมูล โดยพบสามช่องทางที่ตรวจพบการโจมตีมากที่สุดได้แก่
 
💠 การโจมตีบัญชีผู้ใช้งานโดยตรงผ่านการโจมตีแบบ phishing หรือ brute-force attacks
💠 หลอกให้ผู้ใช้งานเปิดสิทธิ์ หรือยกระดับสิทธิ์การเข้าใช้งานให้แก่ผู้โจมตีบนแอปพลิเคชัน OAuth
💠 เข้าควบคุม (Web session) และบันทึกการทำงานต่างๆของผู้ใช้งานที่เข้าสู่ระบบ
 
🔥 แต่ในการโจมตีครั้งนี้แตกต่างจากการโจมตีแบบเดิมคือ เรื่องของการเข้ารหัสข้อมูลไฟล์ SharePoint Online หรือ OneDrive จะมากกว่าข้อกำหนดที่ทาง Microsoft ได้มีการกำหนดไว้ในแต่ละเวอร์ชัน ในบางองค์กรจะมีค่ากำหนดไว้ในเวอร์ชันของที่ใช้งาน ซึ่งเวอร์ชันที่เก่าที่สุดก็จะถูกลบทิ้งไปตามจำนวนที่ถูกกำหนดไว้ เช่น หากมีการตั้งไว้ที่ 100 เวอร์ชัน แต่เมื่อมีการสร้างเวอร์ชันที่ 101.0 ในส่วนของเวอร์ชันที่ 1.0 ก็จะถูกลบออกไป แสดงว่าผู้ใช้งานกำหนดค่าให้สามารถใช้งานได้เพียง 100 เวอร์ชันเท่านั้น เช่นเดียวกันกับการสร้างเวอร์ชัน 101 จะทำให้เวอร์ชันแรกถูกลบออก และจะเหลือแค่เวอร์ชัน 2.0 – 101.0ซึ่งทำให้ผู้โจมตี สามารถใช้วิธีในการสร้างไฟล์เวอร์ชันใหม่ๆ หรือลดจำนวนเวอร์ชันที่จะถูกใช้บนระบบของ Microsoft 365 ให้ลงมาเป็นค่าที่ต่ำที่สุด และทำการเข้ารหัสไฟล์ทั้งหมด 2 ครั้ง ทำให้ไฟล์ข้อมูลปกติที่ยังไม่ถูกเข้ารหัสข้อมูลถูกลบ หรือเรียกค่าไถ่จากองค์กรผู้ใช้งานได้ 👍
 
Microsoft ได้ออกมาชี้แจงเพิ่มเติมว่าในส่วนของ ไฟล์เวอร์ชันเก่าสามารถกู้คืนได้ย้อนหลังโดยใช้เวลา 14 วัน (พบว่าไม่สามารถทำได้สำเร็จจากรายงานของทาง Proofpoint) 
 
🧬 จากความเห็นของ Microsoft ที่ได้พูดคุยกับทาง The Hacker News โดยระบุว่าการโจมตีนี้จะเกิดขึ้นก็ต่อเมื่อผู้ใช้งานถูกโจมตี และเข้าควบคุมการใช้งานของบัญชีผู้ใช้งานเรียบร้อยแล้ว แนะให้ผู้ใช้งานระมัดระวังในเรื่องของการเปิดใช้งานลิงก์ต่างๆบนหน้าเว็บ การเปิดไฟล์แนบที่ไม่รู้จัก หรือการดาวน์โหลดไฟล์ต่างๆ เพื่อเป็นการป้องกัน และลดช่องโหว่จากการโจมตีดังกล่าวที่เกิดขึ้น รวมถึงการหนดรหัสผ่านตรวจสอบเรื่องของสิทธิ์ในการเข้าใช้งาน เช่น การใช้งาน multi-factor authentication (MFA) เพื่อเป็นการป้องกันการดาวน์โหลดข้อมูลขนาดใหญ่โดยไม่ได้รับอนุญาต และไฟล์ข้อมูลสำหรับที่อยู่ในระบบคลาวด์
 
🔍 ในเรื่องของการตรวจสอบ OneDrive ransomware detection ที่จะแจ้งเตือนไปยังผู้ที่ใช้งาน Microsoft 365 ที่อาจจะตกเป็นเหยื่อ ให้สามารถกู้คืนไฟล์หรือข้อมูลที่ถูกขโมยไปได้ รวมถึงสิทธิ์ในการเข้าใช้งานในส่วนของ SharePoint และ OneDrive จากอุปกรณ์ที่ยังไม่ได้รับการจัดการหรือแก้ไข รวมไปจนถึงการจัดเก็บไฟล์ในรูปแบบต่างๆ ทั้งแบบไฮบริดและบนคลาวด์ เพื่อลดความเสี่ยงไม่ให้ผู้โจมตีเข้าถึงไฟล์ข้อมูลที่สำคัญต่างๆภายในเครื่องของผู้ใช้งาน และเครื่องปลายทางได้ ดังนั้นหากจะทำการเรียกค่าไถ่จากผู้ใช้งาน ทางผู้โจมตีจะต้องเข้าถึงเครื่องของผู้ใช้งานที่มีการสำรองข้อมูลไว้บนคลาวด์ และเครื่องปลายทางพร้อมกันเพื่อดำเนินการโจมตีเข้ารหัสข้อมูล และเรียกค่าไถ่ในการปลดล็อคไฟล์ข้อมูล