Los investigadores de la firma de seguridad Proofpoint, comentan que han descubierto una forma para que un grupo especializado en Ransomware cifre los archivos almacenados en las aplicaciones SharePoint y OneDrive de Microsoft, el ataque tiene como objetivo la función de «control de versiones» en SharePoint y OneDrive.

Tal como comentábamos, este ataque afecta principalmente a los productos de SharePoint Online y OneDrive, los cuáles permiten a los usuarios establecer la cantidad de versiones guardadas de cada biblioteca de documentos.

La firma de seguridad cibernética Proofpoint dijo que si un grupo de ransomware secuestraba la identidad de un usuario y obtenía acceso a una o más cuentas de SharePoint Online o OneDrive, podría reducir el límite de versión del archivo a un número bajo.

Después de cambiar el límite de versiones, un atacante podría cifrar archivos más veces que el límite de versiones.

A medida que los usuarios reducen el límite de versiones de una biblioteca de documentos, se vuelve cada vez más difícil restaurar versiones anteriores.

Proofpoint presenta dos formas diferentes en que los actores de amenazas pueden comprometer los repositorios de documentos: crear versiones excesivas de archivos o reducir drásticamente los límites de versión.

Luego, el archivo se puede cifrar dos veces, por lo que las organizaciones no pueden recuperar la versión original sin la clave de descifrado.

Un portavoz de Microsoft ha explicado que la técnica «requiere que el usuario ya esté completamente expuesto al atacante».

El informe de Proofpoint enumera tres formas diferentes en que un atacante podría obtener acceso a una cuenta de SharePoint Online o OneDrive, incluido el compromiso a través de ataques de phishing o de fuerza bruta o engañando a los usuarios para que autoricen aplicaciones OAuth de terceros con alcance de aplicación para acceder a la cuenta de SharePoint o OneDrive.

Los grupos de ransomware también pueden secuestrar las sesiones web de los usuarios registrados o hacerse cargo de los tokens de API en vivo para SharePoint Online o OneDrive.

Mas información:

La función de Microsoft 365 deja los archivos de SharePoint y OneDrive abiertos a ataques de ransomware

Libros recomendados

Pentesting con FOCA

Bitcoin

Técnicas de Análisis Forense