研究人员报告了自动SaaS勒索软件勒索的第一个实例

这个大型勒索软件组织已经成功地对一家公司的SharePoint Online环境进行了勒索攻击，而不需要使用一个受损的端点，这就是这些攻击通常的展开方式。

相反，该威胁组织似乎使用了一个安全保护较弱的管理员帐户渗透到该未具名公司的环境中，提升权限，并最终从受害者的SharePoint库中窃取敏感数据。这些数据被用来勒索受害者支付赎金。

发现这次攻击的安全公司Obsidian的联合创始人兼首席运营官格伦•奇泽姆(Glenn Chisholm)表示，这次攻击值得关注，因为大多数企业应对勒索软件威胁的努力往往集中在端点保护机制上。

奇泽姆说:“公司一直试图完全通过终端安全投资来防止或减轻勒索软件组织的攻击。这次攻击表明，端点安全是不够的，因为许多公司现在都在SaaS应用程序中存储和访问数据。”

Obsidian观察到的攻击始于一个0mega组织参与者获得了一个属于受害者组织的微软全球管理员的安全保障较差的服务帐户凭证。被入侵的帐户不仅可以从公共互联网访问，而且没有启用多因素身份验证(MFA)。大多数安全专家都认为这是基本的安全必需品，尤其是对于特权帐户。

攻击者利用被入侵的账户创建了一个名为0mega的活动目录用户，然后授予这个新账户在环境中制造破坏所需的所有权限。这些权限包括全局管理员、SharePoint管理员、Exchange管理员和Teams管理员的权限。

此外，攻击者还使用被泄露的管理员凭证授予0mega帐户在组织的SharePoint Online环境中具有所谓的站点收集管理员权限，并删除所有其他现有管理员。

在sharepoint中，站点集合是Web应用程序中的一组网站，它们共享管理设置并具有相同的所有者。站点集合在具有多个业务功能和部门的大型组织中更常见，或者在具有非常大的数据集的组织中更常见。

在Obsidian分析的攻击中，有2000万个攻击者使用受损的管理员凭证在两小时内删除了大约200个管理员帐户。

有了自己分配的权限，攻击者从组织的SharePoint Online库中获取了数百个文件，并将它们发送到与一家网络托管公司相关的虚拟专用服务器(VPS)主机上。

为了便于泄露，攻击者使用了一个名为sppull的公开可用的Node.js模块，该模块允许开发人员使用HTTP请求与SharePoint资源进行交互。正如其维护者对该模块的描述，sppull是一个从SharePoint拉取和下载文件的简单客户端。

一旦泄露完成，攻击者使用另一个名为get的node.js模块将数千个文本文件上传到受害者的SharePoint环境中，这些文件基本上通知了组织刚刚发生的事情。