Die Verlagerung von Dateien in die Cloud wie z.B. OneDrive und SharePoint von Microsoft bietet viele Vorteile und kann die Speicherkapazität eigener Server entlasten. Die Cloud bietet jedoch keinen umfangreichen Schutz vor Hackerangriffen. Eine zuverlässige Datensicherung wird sehr oft – auch durch Microsoft – nicht gewährleistet.
Die IT-Sicherheitsforscher von Proofpoint haben jetzt über ein mögliches Angriffszenario beschrieben:
- Initialen Zugriff erlangen: Die Angreifer müssen zunächst Zugriff auf einen oder mehrere SharePoint-Online oder OneDrive-Konten erhalten, indem sie Nutzeridentitäten kompromittieren oder übernehmen – etwa mittels Phishing.
- Kontenübernahme und -Ausforschung: Die Angreifer haben nun Zugriff auf jede Datei, die dem gekaperten Benutzerkonto gehört oder auch via OAuth-basierter Anwendungen von Drittherstellern erreichbar ist.
- Sammlung und Exfiltration: Die Angreifer reduzieren die Anzahl an vorzuhaltenden Versionen auf einen niedrigen Wert, beispielsweise 1. Jetzt müssen sie die Datei lediglich zweimal verschlüsseln, sodass das Opfer kein brauchbares Backup in der Cloud mehr hat. Hier unterscheidet sich der Ransomware-Angriff von der bislang üblichen Endpoint-basierten Fassung. Vor der Verschlüsselung könnten die Cyberkriminellen die Daten auch noch kopieren, um gegebenenfalls eine Doppelstrategie zur Erpressung zu nutzen.
- Monetarisierung: Da nun alle Dateiversionen vor dem Angriff verloren sind und nur noch die verschlüsselten Fassungen vorliegen, können die Angreifer die Organisation um Lösegeld erpressen.
Ähnlich sieht ein potenzieller Angriff auf Listen und Dokumentenbibliotheken in SharePoint aus. Proofpoint schreibt, dass das Unternehmen Microsoft diesbezüglich kontaktiert habe. Microsoft antwortete demzufolge, dass die Funktion wie gewünscht arbeite und potenzielle Opfer mithilfe des Supports bis zu 14 Tage nach einem Angriff möglicherweise noch ältere Dateiversionen wiederherstellen könnten. Das habe Proofpoint exemplarisch probiert, allerdings scheiterte dieser Wiederherstellungsversuch.
IT-Verantwortliche sollten in ihren IT-Sicherheitsplänen daher berücksichtigen, dass die Cloud-Systeme etwa von Microsoft im Zweifel keine verlässliche Datensicherung umfassen. Sie sollten die dort abgelegten Dokumente, Listen und Dateien anderweitig in die Backup-Strategie aufnehmen und berücksichtigen.
Die Schulung von Mitarbeitern zur Förderung der Datensicherheit und dem Umgang mit Phishing-Mails ist eine gute Präventionsmaßnahme. Eine Cyber-Versicherung gewährleistet die unverzügliche Verfügbarkeit von IT-Experten (Forensiker, Datenwiederherstellung, Datenschutz) und übernimmt deren Kosten inkl. Ertragsausfall.
Sprechen Sie uns an – wir haben Lösungen für die Schulung von Mitarbeitern (Awareness-Portal) und können einen maßgeschneiderten Versicherungsschutz für eine Cyber-Versicherung organisieren.
Quelle: Heise.de
