พบฟังก์ชันบางอย่างบน Microsoft 365 ที่อาจทำให้ผู้โจมตีสามารถเข้ารหัสเพื่อเรียกค่าไถ่ไฟล์ที่จัดเก็บไว้ใน SharePoint และ OneDrive ได้
โดย Proofpoint ระบุว่าการโจมตีด้วยแรนซัมแวร์บน cloud ในครั้งนี้ อาจทำให้ผุ้โจมตีสามารถเข้ารหัสไฟล์ที่เก็บไว้ใน SharePoint และ OneDrive ในลักษณะที่ทำให้ไม่สามารถกู้คืนได้ หากไม่มีการสำรองข้อมูลไว้ภายนอก หรือกุญแจสำหรับถอดรหัสจากผู้โจมตี
การโจมตีสามารถทำได้โดยใช้ Microsoft APIs, command-line interface (CLI) scripts และ PowerShell scripts ซึ่งการโจมตีเกิดขึ้นได้จากฟีเจอร์ของ Microsoft 365 ที่เรียกว่า AutoSave ที่จะสร้างสำเนาของไฟล์เวอร์ชันเก่าเมื่อผู้ใช้แก้ไขไฟล์ที่จัดเก็บไว้ใน OneDrive หรือ SharePoint Online
โดยเริ่มต้นจากการที่ผู้โจมตีสามารถเข้าถึงบัญชี SharePoint Online หรือ OneDrive ของเหยื่อได้ ซึ่งหลักๆช่องทางที่พบการโจมตีได้บ่อยที่สุดที่จะทำให้ได้บัญชีของเหยื่อมานั้น จะเป็นการโจมตีบัญชีโดยตรงผ่านการโจมตีแบบ phishing หรือ brute-force attacks หรือหลอกให้เหยื่อให้สิทธิ์บนแอปพลิเคชัน OAuth แก่ผู้โจมตี หรือเข้าควบคุมเซสชันเว็บของผู้ใช้ที่เข้าสู่ระบบ จากนั้นจึงค่อยขโมยข้อมูลของเหยื่อ และเริ่มกระบวนการเข้ารหัสไฟล์
โดยบางองค์กรอาจมีการตั้งค่า limit เวอร์ชันของ AutoSave บน SharePoint Online หรือ OneDrive ไว้ ซึ่งเวอร์ชันที่เก่าที่สุดก็จะถูกลบทิ้งไปตามจำนวนที่ถูกกำหนดไว้ เช่นหากตั้งไว้ที่ 100 เวอร์ชัน เพื่อมีการสร้างเวอร์ชันที่ 101 เวอร์ชันที่ 1.0 ก็จะถูกลบออกไปเป็นต้น ซึ่งผู้โจมตีจะใช้วิธีการลดจำนวนเวอร์ชันที่จะถูก AutoSave ไว้บนระบบของ Microsoft 365 ลงมาเป็นค่าต่ำๆเช่น 1 เวอร์ชัน จากนั้นก็ทำการเข้ารหัสไฟล์ทั้งหมด 2 ครั้ง ดังนั้นไฟล์ปกติ(ที่ยังไม่ถูกเข้ารหัส) ก็จะถูกลบหายไปทั้งหมดแล้ว เมื่อถึงจุดนี้ผู้โจมตีก็สามารถเรียกค่าไถ่จากองค์กรได้
Microsoft ได้ให้ข้อมูลเกี่ยวกับการโจมตีรูปแบบนี้ว่า ไฟล์เวอร์ชันเก่าสามารถกู้คืนได้ และกู้คืนได้ย้อนหลัง 14 วัน แต่ทาง Proofpoint พบว่าไม่สามารถทำได้สำเร็จ
ทาง The Hacker News ได้ทำการติดต่อไปยัง Microsoft เพื่อขอความคิดเห็นเพิ่มเติม โดยทาง Microsoft ระบุว่าการโจมตีนี้จะเกิดขึ้นได้จากกรณีที่ผู้โจมตีสามารถเข้าควบคุมบัญชีของผู้ใช้งานได้ก่อน จึงแนะนำให้ผู้ใช้งานระมัดระวังในการคลิกลิงก์ หรือเปิดไฟล์แนบที่ไม่รู้จัก และเพื่อลดความเสี่ยงจากการโจมตีดังกล่าว ขอแนะนำให้ผู้ใช้งานมีการตั้งรหัสผ่านอย่างรัดกุม, กำหนดให้มีการตั้งค่าการใช้งาน Multi-factor authentication (MFA) และป้องกันการดาวน์โหลดข้อมูลขนาดใหญ่ไปยังอุปกรณ์ที่ไม่ได้รับอนุญาต
โดย Microsoft ยังกล่าวถึงระบบการตรวจจับ ransomware บน OneDrive ที่จะแจ้งเตือนผู้ใช้งาน Microsoft 365 ถึงการโจมตีที่เกิดขึ้น และช่วยให้ผู้ใช้งานสามารถกู้คืนไฟล์ของตนเองได้ Microsoft ยังแนะนำให้ผู้ใช้งานตั้งค่าการเข้าถึง SharePoint และ OneDrive จากอุปกรณ์ที่ได้รับอนุญาตเท่านั้น
รวมไปถึงการจัดเก็บไฟล์ในสถานะไฮบริดทั้งบนเครื่อง และบนคลาวด์ผ่าน cloud sync folders จะลดความเสี่ยงจากการโจมตีรูปแบบนี้ เนื่องจากผู้โจมตีจะไม่สามารถเข้าถึงไฟล์บนเครื่องปลายทางได้ ดังนั้นหากจะดำเนินการเรียกค่าไถ่ได้อย่างเต็มรูปแบบ ผู้โจมตีจะต้องเข้าถึงทั้งเครื่องปลายทาง และบัญชีบนคลาวด์เพื่อเข้าถึงไฟล์ที่จัดเก็บบนคลาวด์ด้วยพร้อมกัน
ที่มา : thehackernews
You must be logged in to post a comment.