Et skift i taktik er blevet observeret blandt flere ransomware-grupper, da de bevæger sig væk fra at kryptere ofrenes filer og i stedet fokuserer på datatyveri og afpresning. Blandt disse grupper er 0mega, en relativt ukendt trusselsaktør, der for nylig har fået opmærksomhed for sine aktiviteter.
For cirka et år siden dukkede beviser for 0megas drift op, da et britisk-baseret elektronikreparations- og renoveringsfirma blev et offer. Virksomheden nægtede at betale løsesummen krævet af 0mega, hvilket førte til, at banden lækkede virksomhedens data på et dedikeret lækagested. Den ransomware, der blev brugt af 0mega, tilføjede ".0mega"-udvidelsen til krypterede filer, selvom en prøve af malwaren endnu ikke er blevet opdaget. Siden da er data fra yderligere to ofre blevet lækket, selvom det er vigtigt at bemærke, at det begrænsede antal ofre, der er opført på lækagestedet, ikke indikerer fraværet af yderligere mål. Faktisk har Obsidian rapporteret, at data fra en offerorganisation blev lækket og efterfølgende fjernet.
Obsidian Securitys trusselsforskningsteam er blevet hyret til at efterforske et angreb, der resulterede i datatyveri fra en ikke-oplyst virksomheds Sharepoint Online-aktiver. De mistænker 0mega for at være gerningsmanden bag dette angreb.
Oprettede ny Microsoft konto
Angriberne kompromitterede oprindeligt en af virksomhedens Microsoft Global admin-servicekonti, som manglede multi-faktor-godkendelse. Med denne adgang oprettede de en ny Microsoft AD-bruger ved navn 0mega og gav den forskellige tilladelser, herunder Global Administrator, SharePoint Administrator, Exchange Administrator og Teams Administrator.
Den kompromitterede tjenestekonto bemyndigede 0mega-brugeren med administratorfunktioner for webstedssamling på tværs af flere SharePoint-websteder og -samlinger. Angriberne fjernede eksisterende administratorer og udførte over 200 administratorfjernelsesoperationer inden for en tidsramme på to timer. Efterfølgende eksfiltrerede de hundredvis af firmafiler og uploadede adskillige tekstfiler, kaldet PREVENT-LEAKAGE.txt, for at gøre opmærksom på databruddet.
Disse tekstfiler indeholdt instruktioner om, hvordan man indleder betalingsforhandlinger med trusselsaktøren via et chatrum på et Tor-websted. Manglende overholdelse af betalingskravene (i bitcoin) vil resultere i offentlig offentliggørelse af de stjålne oplysninger.
Obsidian afslørede i samarbejde med Help Net Security, at denne tilgang adskiller sig fra tidligere observationer, hvor SharePoint 365-forekomster blev løst ved at kryptere filer på kompromitterede brugermaskiner eller kortlagte drev og efterfølgende synkronisere dem til SharePoint. Efter-kompromisundersøgelsen udført af Obsidian fandt sted i den sidste del af første halvdel af 2023.
Detaljer om, hvorvidt de kaprede tjenestekontolegitimationsoplysninger blev kompromitteret, eller om virksomheden betalte løsesummen forbliver ukendte. Ikke desto mindre tyder regnskaberne og infrastrukturen i forbindelse med angrebet stærkt på involvering af de kendte 0mega-operatører. For at hjælpe andre organisationer med at forsvare sig mod potentielle angreb er indikatorer for kompromis blevet frigivet.
Comments