【安全圈】首个针对SaaS应用的自动化勒索软件攻击

近日，勒索软件组织Omega成功对某企业使用的SaaS应用（SharPoint Online）发动了勒索攻击，整个攻击（数据泄露）过程高度自动化且没有攻击任何端点。

据报道该事件的网络安全公司Obsidian的创始人Glenn Chisholm介绍，这可能是业界发现的首个针对企业使用的SaaS服务的自动化勒索攻击。

Chisholm指出，对于勒索软件攻击的防护，企业过去依赖端点安全投资，但最新的攻击表明，仅仅确保端点安全还远远不够，因为越来越多的企业在SaaS应用程序中存储和访问数据。

在此次攻击中，攻击者利用了受害企业的安全性较差的SharPoint服务账户凭证（不仅可以通过互联网公开访问，而且没有启用MFA）。并利用SharePoint Online提供的网站集管理功能（多个网站共享管理设置并拥有相同的管理员账户，该功能在拥有多个业务功能和部门的大型企业中很常见），在2小时内批量删除了200个其他管理员账户。

凭借自行分配的权限，攻击者随后使用自动化脚本从受害企业的SharePoint Online库中获取了数百个文件，并将它们发送到与俄罗斯一家Web托管公司相关联的虚拟专用服务器(VPS)主机。

Chisholm表示，Obsidian在过去六个月中观察到的针对企业SaaS环境的攻击比前两年的总和还多。他说，攻击者日益增长的兴趣很大程度上源于这样一个事实，即企业越来越多地将受监管的、机密或敏感信息放入SaaS应用程序中，而没有实施与端点技术相同的控制。

根据AppOmni最新发布的报告，自2023年3月1日以来，针对Salesforce社区站点和其他SaaS应用程序的SaaS攻击增加了300%。主要的攻击途径包括过多的访客权限、过多的对象和字段权限、缺乏MFA以及对敏感数据的过度访问权限。Odaseva去年进行的一项研究显示，48%的受访者表示他们的组织在过去12个月内经历过勒索软件攻击，超过一半的攻击(51%)的目标SaaS数据。