Ransomware bedroht auch Daten auf OneDrive

Dateien in Microsofts Cloudspeichern OneDrive und Sharpoint Online sind nicht mehr vor Ransomware-Attacken sicher. Dies haben Experten von Proofpoint dargelegt. [...]

Foto: Mudassar Iqbal/Pixabay

Wer Daten in Cloud-Diensten wie OneDrive ablegte, konnte sich bislang vor Ransomware-Attacken sicher fühlen. Denn Funktionen wie die automatische Sicherung der Dateien und dem Backup mehrere Versionen der Files stellten eine gewisse Hürde dar, um Informationen zu verschlüsseln und somit mit Lösegeldforderungen an die Anwender heranzutreten.

Bis jetzt: Denn nun hat der Cybersecuity-Experte Proofpoint einen Weg in einem Proof-of-Concept aufgezeigt, wie die Cloud-Systeme von Microsoft doch mit Ransomware verseucht werden können. Die Security-Forscher der Firma haben gemäß eines Blog-Beitrags eine potenziell gefährliche Funktion in Office 365 oder Microsoft 365 entdeckt, die es ermöglicht, auf SharePoint und OneDrive gespeicherte Dateien mit Ransomware so zu verschlüsseln, dass sie ohne Beizug von Sicherheitskopien auf externen Backups oder eine Entschlüsselung durch den Angreifer nicht wiederherstellbar sind.

Knackpunkt Versionierung

Ausgangspunkt für die Attacke ist die Übernahme von Benutzerkonten von SharePoint Online oder OneDrive. Dies kann beispielsweise über Phishing-Methoden, mit Malware oder über Drittanwendungen erfolgen, denen der Zugriff auf das Konto via OAuth gewährt wird.

Ist einmal das Anwenderkonto im Besitz der Angreifer, ist es gemäß Proofpoint möglich, die Anzahl Versionen der automatisch erstellten Sicherheitskopien der in der Cloud gelagerten Dateien, die bis zu 500 erreichen kann, auf eine einzige zu reduzieren. Wird danach diese Version verschlüsselt, ist der User den Ransomware-Angreifern ausgeliefert.

«​​Jede Dokumentbibliothek in SharePoint Online und OneDrive hat eine vom Benutzer konfigurierbare Einstellung für die Anzahl gespeicherter Versionen», erklären die Proofpoint-Forscher. Um die Anzahl ändern zu können, bräuchten die User keine besonderen Privilegien wie etwa eine Administratorenrolle zu besitzen. Denn die Versionierungseinstellungen befänden sich unter den Listeneinstellungen für jede Dokumentbibliothek und seien auch reinen Usern zugänglich, heißt es weiter.

Rettungsmöglichkeiten

Die Forscher von Proofpoint weisen aber auch darauf hin, dass die von ihnen entdeckte Methode nur dann durchschlagend ist, wenn der Nutzer keine lokale Kopie seiner Daten besitzt. So könnten die Daten wiederhergestellt werden, wenn die Hacker keinen Zugriff auf den lokalen OneDrive- oder Sharepoint-Ordner hatten und die Dateien noch nicht mit der Online-Version synchronisiert wurden.

Daneben weist Proofpoint darauf hin, dass der Support von Microsoft eigenen Angaben zufolge grundsätzlich in der Lage sei, ältere Dateiversionen, die bis zu 14 Tage zurückliegen, wiederherzustellen. Dies beruht wahrscheinlich auf dem automatisierten Backupsystem des Dienstes, auf das die Benutzer nicht direkt zugreifen können.

In jedem Fall rät Proofpoint, ein Auge auf Änderungen der Konfiguration in Office365-Konten zu werfen. Änderungen an den Versionierungseinstellungen seien nämlich ungewöhnlich und sollten als verdächtiges Verhalten behandelt werden, raten die Security-Experten folglich.

*Jens Stark ist Autor bei com!professional.


Mehr Artikel

News

Internet of Behaviors: Die nächste große Bedrohung für die Privatsphäre?

Das Internet of Behaviors verarbeitet die Unmengen an persönlichen Daten, die wir jeden Tag preisgeben, mit Methoden der Verhaltenswissenschaft, KI und maschinellem Lernen. Das Ziel ist, Verhaltensmuster zu erkennen und gezielt darauf zu reagieren. Die Wege, über die das IoB tagtägliche Entscheidungen verfolgt und beeinflusst, sind weitreichend und stellen die Privatsphäre jedes Einzelnen auf die Probe. […]

Keeper Security und Sherweb: Partnerschaft speziell für MSPs. (c) Pexels
News

Keeper Security und Sherweb schließen Partnerschaft

Sherwebs nimmt die Passwortmanagement- und Cybersicherheitslösungen von Keeper Security in seinen Marktplatz auf. Damit haben Managed Service Provider (MSPs) die Möglichkeit, kleine und mittelständische Unternehmen (SMBs) mit Funktionen wie Multi-Faktor-Authentifizierung und Zero-Knowledge-Verschlüsselung besser zu schützen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*