El grupo cibercriminal 0mega lidera los ataques de extorsión automatizada de ransomware contra instancias de Software como servicio
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, (ISC)² Certified in Cybersecurity℠ CC, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
Tras los exitosos ataques de extorsión contra el entorno corporativo de SharePoint Online, perpetrados por el grupo criminal de ransomware conocido como 0mega, los primeros hallazgos demuestran que esta pandilla parece haber utilizado una cuenta de administrador poco segura para infiltrarse en el entorno de las organizaciones, elevar los permisos y, finalmente, filtrar datos confidenciales de las bibliotecas de SharePoint de las víctimas.
Este tipo de ataques ha llamado la atención debido a que la mayoría de los esfuerzos empresariales para abordar la amenaza del ransomware tienden a prevenir o mitigar los ataques de grupos de ransomware por completo, a través de inversiones en seguridad de puntos finales. No obstante, este ataque muestra que la seguridad de los puntos finales no es suficiente, ya que muchas empresas ahora almacenan y acceden a datos en aplicaciones de Software como servicio (SaaS).
Los detalles del ataque muestran que los operadores de 0mega obtuvieron una credencial de cuenta de servicio mal protegida que pertenecía a uno de los administradores globales de Microsoft de la organización víctima. La cuenta vulnerada no solo era accesible desde la Internet pública, sino que tampoco tenía habilitada la autenticación multifactor, algo que la mayoría de los expertos en seguridad coinciden en que es una necesidad básica de seguridad, especialmente para las cuentas privilegiadas.
0mega usó la cuenta comprometida para crear un usuario de Active Directory y luego procedió a otorgar a la nueva cuenta todos los permisos necesarios para crear estragos en el entorno. Estos incluían permisos para ser administrador global, administrador de SharePoint, administrador de Exchange y administrador de equipos.
Como medida adicional, 0mega usó la credencial de administrador comprometida para otorgar a la creada las denominadas capacidades de administrador de colección de sitios dentro del entorno de SharePoint Online de las organizaciones y para eliminar a todos los demás administradores existentes.
En SharePoint, las colecciones de sitios dentro de una aplicación web comparten configuraciones administrativas y tienen el mismo propietario. Las colecciones de sitios tienden a ser más comunes en organizaciones grandes con varias funciones y departamentos comerciales, o entre organizaciones con conjuntos de datos muy grandes.
En uno de los ataques ejecutados por 0mega se encontró que los criminales utilizaron la credencial de administrador comprometida para eliminar alrededor de 210 cuentas de administrador en un período de dos horas.
De esta forma, con los privilegios autoasignados, los cibercriminales tuvieron acceso a cientos de archivos de las bibliotecas de SharePoint Online de la organización, los cuales fueron enviados a un host de servidor privado virtual, asociado con una empresa de alojamiento web en Rusia. Para facilitar la exfiltración, el actor de amenazas usó un módulo Node.js disponible públicamente llamado spull que, entre otras cosas, permite a los desarrolladores interactuar con los recursos de SharePoint mediante solicitudes HTTP.
Una vez que se completó la exfiltración, los atacantes usaron otro módulo de node.js llamado got para cargar miles de archivos de texto en el entorno de SharePoint de la víctima que básicamente informaba a la organización de lo que acababa de suceder.
Por lo general, en los ataques dirigidos a aplicaciones SaaS, los grupos de ransomware comprometen un punto final y luego cifran o extraen archivos, aprovechando el movimiento lateral según sea necesario.
En este caso, los atacantes usaron credenciales comprometidas para iniciar sesión en SharePoint Online, otorgaron privilegios administrativos a una cuenta recién creada y luego automatizaron la exfiltración de datos de esa nueva cuenta usando scripts en un host alquilado provisto por VDSinra.ru.
Entonces, los criminales ejecutaron todo el ataque sin comprometer un punto final ni usar un ejecutable de ransomware, haciendo de estos ataques los primeros contra una instancia registrada públicamente, de extorsión automatizada, de ransomware SaaS.
Gran parte del creciente interés de los atacantes en este tipo de ataques se debe al hecho de que las organizaciones colocan cada vez más información regulada y confidencial en aplicaciones SaaS sin implementar el mismo tipo de controles que en las tecnologías de punto final.
Para más información, visite: https://www.silikn.com/