Microsoft Office 365の機能は、ランサムウェアハッカーがクラウドファイルを人質にするのに役立つ可能性があります from thehackernews.com
security summary
クラウドランサムウェア攻撃により、ファイル暗号化マルウェアを起動して、「SharePointとOneDriveに保存されているファイルを、専用のバックアップや攻撃者からの復号化キーなしでは回復できないように暗号化する」ことが可能になります。
攻撃の核となるのは、ユーザーがOneDriveまたはSharePoint Onlineに保存されているファイルを編集したときに、古いファイルバージョンのコピーを作成するAutoSaveと呼ばれるMicrosoft365の機能にかかっています。
ただし、この攻撃が従来のエンドポイントランサムウェアアクティビティとは異なる点は、暗号化フェーズで、SharePointOnlineまたはOneDrive上の各ファイルを許可されているバージョン制限を超えてロックする必要があることです。
アカウントへのアクセスを利用することで、攻撃者はファイルのバージョンを作成しすぎるか、ドキュメントライブラリのバージョン制限を「1」などの低い数に減らしてから、各ファイルを2回暗号化することができます。
「現在、ファイルの元の(攻撃前の)バージョンはすべて失われ、各ファイルの暗号化されたバージョンのみがクラウドアカウントに残ります」と研究者は説明しました。
Microsoftは、調査結果に応じて、Proofpointが失敗したプロセスであるMicrosoft Supportの支援を受けて、古いバージョンのファイルをさらに14日間回復および復元できる可能性があることを指摘しました。
コメント