Sättet att skydda sig mot ransomwareattacker är att skydda det egna företagets IT-miljö. Eller hur?
Ja, men det räcker inte. Det görs tydligt av en ny typ av attack som är helt inriktad på molntjänster.
Emanuel Lipschütz, cybersäkerhetschef på Conscia Sverige, förklarar hur de nya attackerna fungerar och hur man kan skydda sig mot dem.
Den första allmänt kända ransomwareattacken (utpressningsattacken, gisslanattacken) som skett helt och hållet i molnet illustrerar en ny typ av hot. Innan vi tittar närmare på den attacken är det klokt att ta till sig två viktiga insikter:
- Lösningar för klientsäkerhet (endpoint security) gör ingen som helst nytta mot den här nya typen av attacker. De nya attackerna inbegriper inte på något sätt lokala IT-resurser hos drabbade företag. Men klientsäkerhet behövs självklart fortfarande.
- Det finns skydd mot molnbaserade ransomwareattacker, men de används långt i från alltid. Slutsatsen är att använda de säkerhetslösningar som finns för molnresurser.
Infiltrerar Microsofts molntjänst
En kriminell så kallad ransomwaregrupp som kallas 0mega misstänks på starka grunder ha utfört en attack mot Microsofts molntjänst (SaaS-tjänst) SharePoint Online. Attacken var specifikt riktad mot ett företag som använder SharePoint Online. Den innebar alltså ingen generell risk för alla användare av SharePoint Online. Men tillvägagångssättet visar att alla användarföretag som inte använder lämpliga säkerhetslösningar riskerar att drabbas.
0mega lyckades stjäla en stor mängd filer från det drabbade företaget och använde de filerna för att utpressa företaget. Attacken har gjorts allmänt känd av säkerhetsföretaget Obsidian. Här är ingredienserna för den utförda attacken:
-
Emanuel Lipschütz
Ett generellt adminkonto för Microsofts tjänster hackades, vilket gav inkräktarna åtkomst till det drabbade företagets resurser hos Microsoft. Att multifaktorautentisering eller tvåfaktorautentisering inte användes för adminkontot gjorde det enklare för de kriminella att hacka det.
- Det hackade kontot användes för att skapa ett nytt adminkonto, med namnet 0mega. Det kontot gav inkräktarna omfattande rättigheter inte bara till SharePoint, utan även till andra molntjänster från Microsoft, som Exchange och Teams.
- De kriminella fick åtkomst till ett flertal datasamlingar som hanterades med SharePoint Online.
- De kriminella raderade 200 legitima adminkonton under en tvåtimmarsperiod.
- Hundratals filer överfördes från det drabbade företagets SharePoint Online-konton.
- Tusentals filer överfördes till det drabbade företagets SharePoint Online-konton, med syfte att väcka uppmärksamhet för datastölderna.
- Det gjordes möjligt för det drabbade företaget att kommunicera med inkräktarna via chatt, för att förhandla om en lösensumma för att filerna och information om attacken inte skulle publiceras online.
Kunde ha undvikits
Det är alltid lätt att vara efterklok, men vi kan konstatera att den beskrivna attacken hade blivit betydligt svårare att genomföra, om det drabbade företaget hade använt tillgängliga säkerhetslösningar, som multifaktorautentisering, och om publik åtkomst till adminkonton i molnet hade begränsats.
Lärdomen för alla företag och organisationer som använder molntjänster är att säkra dem, genom att använda tillgängliga säkerhetslösningar fullt ut. Det gäller alla molntjänster, som SaaS-tjänster (applikationer), plattformstjänster och infrastrukturtjänster (till exempel för lagring).
Det räcker inte att fokusera på att säkra den egna IT-miljön (nätverk, servrar, klienter och så vidare). Den här attacken visar att cybersäkerhet utan molnsäkerhet bara är halvdan cybersäkerhet.
