Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Funktion von Microsofts OneDrive und SharePoint erleichtert Ransomware-Befall

Eine Funktion von OneDrive und SharePoint erleichtert Cyberkriminellen, Daten zu verschlüsseln. Ransomware wird damit auch für die Cloud-Speicher zum Problem.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Aufmacher OneDrive und SharePoint erleichtern Ransomware-Angriffe

(Bild: aslysun/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Die IT-Sicherheitsforscher von Proofpoint sind über eine Funktion von Microsofts 365 respektive Office 365 gestolpert, im Speziellen in OneDrive und SharePoint, die es Angreifern erleichtert, Daten zu verschlüsseln. Oftmals gehen Nutzer und Administratoren davon aus, dass derartige Cloud-Speicher davor sicher seien, da durch die Versionskontrolle Backups der Daten vorliegen.

In einem Blog-Beitrag schreiben die IT-Analysten, dass Ransomware-Angriffe bislang im Wesentlichen auf Endgeräte und Netzlaufwerke abzielten. Dies könne sich ändern, da Angreifer die Anzahl der vorgehaltenen Versionen auf den Cloud-Systemen herabsetzen können.

Angriffsszenario für SharePoint und OneDrive

Die IT-Forscher beschreiben folgendes Angriffsszenario:

  1. Initialen Zugriff erlangen: Die Angreifer müssen zunächst Zugriff auf einen oder mehrere SharePoint-Online oder OneDrive-Konten erhalten, indem sie Nutzeridentitäten kompromittieren oder übernehmen – etwa mittels Phishing.
  2. Kontenübernahme und -Ausforschung: Die Angreifer haben nun Zugriff auf jede Datei, die dem gekaperten Benutzerkonto gehört oder auch via OAuth-basierter Anwendungen von Drittherstellern erreichbar ist.
  3. Sammlung und Exfiltration: Die Angreifer reduzieren die Anzahl an vorzuhaltenden Versionen auf einen niedrigen Wert, beispielsweise 1. Jetzt müssen sie die Datei lediglich zweimal verschlüsseln, sodass das Opfer kein brauchbares Backup in der Cloud mehr hat. Hier unterscheidet sich der Ransomware-Angriff von der bislang üblichen Endpoint-basierten Fassung. Vor der Verschlüsselung könnten die Cyberkriminellen die Daten auch noch kopieren, um gegebenenfalls eine Doppelstrategie zur Erpressung zu nutzen.
  4. Monetarisierung: Da nun alle Dateiversionen vor dem Angriff verloren sind und nur noch die verschlüsselten Fassungen vorliegen, können die Angreifer die Organisation um Lösegeld erpressen.

Ähnlich sieht ein potenzieller Angriff auf Listen und Dokumentenbibliotheken in SharePoint aus. Proofpoint schreibt, dass das Unternehmen Microsoft diesbezüglich kontaktiert habe. Microsoft antwortete demzufolge, dass die Funktion wie gewünscht arbeite und potenzielle Opfer mithilfe des Supports bis zu 14 Tage nach einem Angriff möglicherweise noch ältere Dateiversionen wiederherstellen könnten. Das habe Proofpoint exemplarisch probiert, allerdings scheiterte dieser Wiederherstellungsversuch.

IT-Verantwortliche sollten in ihren IT-Sicherheitsplänen daher berücksichtigen, dass die Cloud-Systeme etwa von Microsoft im Zweifel keine verlässliche Datensicherung umfassen. Sie sollten die dort abgelegten Dokumente, Listen und Dateien anderweitig in die Backup-Strategie aufnehmen und berücksichtigen.

Lesen Sie dazu auch:

Themenseite zu Backup auf heise online

(dmk)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Diverses

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten