针对SaaS应用的自动化勒索软件攻击出现了

最后更新：2023.07.26

针对SaaS应用的自动化勒索软件攻击出现了

作者：时间：2023-06-16 14:26:12

简介针对SaaS应用的自动化勒索软件攻击出现了

根据AppOmni（美国的软件安全和合规性管理公司）最新发布的报告，自2023年3月1日以来，针对Salesforce社区站点和其他SaaS应用程序的SaaS攻击增加了300%。主要的攻击途径包括过多的访客权限、缺乏MFA以及对敏感数据的过度访问权限、过多的对象和字段权限。去年国外的一项研究显示，48%的受访者表示他们的组织在过去12个月内经历过勒索软件攻击，而超过一半的攻击(51%)目标是SaaS数据。

近期，黑客组织Omega成功对某企业使用的SaaS应用（SharPoint Online）发动了勒索攻击，诡异的是，整个攻击（数据泄露）过程高度自动化且没有攻击任何端点。

勒索软件组织Omega是一个臭名昭著的黑色产业链组织，以开发和传播恶意软件为主要业务。该组织经常使用最新的技术和漏洞来针对企业和个人的设备进行攻击，并加密用户数据，然后勒索财产。

Omega组织的恶意软件通常是通过钓鱼邮件、网络漏洞和其他社工攻击手段传播的。他们通常会以Bitcoin或其他加密货币的形式索要赎金，以获取解密用户数据的密钥。

尽管执法机构和网络安全团队一直在努力打击Omega组织，但该组织的成员往往很难被追踪到。

报道该事件的网络安全公司Obsidian的创始人Glenn Chisholm介绍，这可能是业界发现的首个针对企业使用的SaaS服务的自动化勒索攻击。

在此次攻击中，攻击者利用了受害企业的安全性较差的SharPoint服务账户凭证（不仅可以通过互联网公开访问，而且没有启用MFA）。并利用SharePoint Online提供的网站集管理功能（多个网站共享管理设置并拥有相同的管理员账户，该功能在拥有多个业务功能和部门的大型企业中很常见），在2小时内批量删除了200个其他管理员账户。

凭借自行分配的权限，攻击者随后使用自动化脚本从受害企业的SharePoint Online库中获取了数百个文件，并将它们发送到与俄罗斯一家Web托管公司相关联的虚拟专用服务器(VPS)主机。