Sharepoint online alvo de ataque ransomware

A empresa de cibersegurança Obsidian descobriu um ataque ransomware bem sucedido ao Sharepoint Online (Microsoft 365), que teve origem numa conta de administrador SaaS Microsoft Global, em vez da habitual intrusão através do endpoint, avançou a SecurityWeek.

Depois de terem infiltrados os sistemas, os cibercriminosos criaram um utilizador do Active Directory chamado Omega com altos privilégios – Global Administrator, SharePoint Administrator, Exchange Administrator e Teams Administrator – e recursos de “site collection” do Sharepoint. O atacante também removeu mais de 200 administradores existentes num período de 2 horas.

Os peritos acreditam que o grupo Omega – identificado devido ao nome da conta criada, entre outros aspetos, – está por trás do ataque, que envolveu apenas roubo de ficheiros, em vez de roubo e encriptação. Depois de exfiltrarem centenas de arquivos, carregaram milhares ficheiros PREVENT-LEAKAGE.txt, alertando a vítima sobre o roubo e para a negociação de pagamento.

Suspeita-se que este possa ser o início de uma tendência. Em declarações à SecurityWeek, os especialistas da Obsidian disseram que esperam que a “tendência cresça. O atacante investiu tempo para criar automação neste ataque, o que implica um desejo de utilizar esse recurso no futuro. Também suspeitamos que vai crescer porque há poucas empresas com um forte programa de segurança SaaS, enquanto muitas estão a investir em produtos de segurança de endpoint”.