Specjaliści z ElevenPaths – firmy zajmującej się cyberbezpieczeństwem przedstawili nowy rodzaj ransomware-u. Jest to złośliwe oprogramowanie o nazwie O365 RansomCloud szyfrujące wiadomości użytkownika przechowywane w chmurze. W ramach PoC wykorzystano usługę Microsoft Office 365 oraz Windows Live. Zastrzeżono jednak, że ten rodzaj ataku działa także na usługi innych tzw. IdPs (ang. Identity Providers) takich jak Twitter, Facebook czy też Google.
Jak działa atak
Atak sprowadza się do wysłania wiadomości phishing-owej do użytkownika. W niej jest zawarta informacja o potrzebie kliknięcia linku ze względu, np. na nową usługę antyspamową. Wówczas użytkownikowi zostaje wyświetlona informacja, iż nowa aplikacja (napisana przez atakującego) wymaga dostępu do określonych zasobów, np. kalendarza, kontaktów czy też wiadomości. Jeżeli bez większej refleksji zatwierdzimy uprawnienia dla nowej aplikacji, wówczas poprzez mechanizm OAuth udostępniamy swoje zasoby atakującemu.
Poniżej dodatkowo zamieszczono 2 wideo (1-sze z komentarzem Kevina Mitnicka):
Źródło: RansomCloud O365 report – https://www.elevenpaths.com/new-ransomcloud-o365-report/index.html
—
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.
