Informes

Proofpoint detecta riesgo de ‘ransomware’ en Microsoft Office 365

Según esta nueva investigación, una funcionalidad potencialmente peligrosa de Office 365 o Microsoft 365 permitiría al ransomware cifrar archivos almacenados en SharePoint y OneDrive –dos de las aplicaciones cloud usadas más usadas actualmente– hasta hacerlos irrecuperables.

Los equipos de TI y seguridad siempre han tenido bastante confianza en la capacidad de las unidades en la nube  para resistir al  ransomware . Con la función de autoguardado, control de versiones y la papelera es fácil obtener copias de seguridad de los archivos. Y, además, este tipo de ataques se ha dirigido tradicionalmente a datos en  puntos finales o unidades de red. Pero esta tranquilidad parece tener los días contados. La empresa de ciberseguridad y cumplimiento normativo  Proofpoint ha demostrado que los ciberdelincuentes pueden apuntar hacia los datos en  la nube  de las organizaciones y lanzar ataques contra dicha infraestructura.

Según esta nueva investigación, una funcionalidad potencialmente peligrosa de Office 365 o Microsoft 365 permitiría al  ransomware cifrar archivos almacenados en SharePoint y OneDrive –dos de las aplicaciones  cloud usadas más usadas actualmente– hasta hacerlos irrecuperables. Proofpoint ha documentado cada paso que siguen los ciberdelincuentes en la cadena de ataque, comenzando por acceder y hacerse con el control de las cuentas de SharePoint y OneDrive. Para ello, los atacantes deciden dañar directamente las credenciales de los usuarios a través de  phishing por correo electrónico o ataques de fuerza bruta; aplicaciones OAuth de terceros o capturas de sesiones web.

Una vez conseguido, el atacante puede coger cualquier archivo, reducir el límite de versiones del mismo a uno, si es posible, y cifrar el archivo más veces que ese límite de versiones, por ejemplo, dos veces según este caso. Este es un paso único que distingue los ataques de  ransomware en  la nube de los que se producen en  puntos finales . Así se pierden todas las versiones originales de los archivos, es decir, las anteriores al atacante, quedando solo las cifradas. Es en este punto cuando el ciberdelincuente pediría el pago de un rescate a la organización afectada.

En España, precisamente, el  ransomware (32%) y el compromiso de cuentas en la nube (31%) son dos de las principales amenazas que se dirigen a las organizaciones, de acuerdo a una  encuesta anual a CISOs de Proofpoint . Para proteger a las empresas, la compañía de ciberseguridad incluye muchas de las recomendaciones generales en cuanto a  ransomware  deben aplicarse también en entornos  cloud .

En primer lugar, se aconseja activar la detección de cambios de configuración en archivos peligrosos. Si bien esta configuración es algo que el usuario puede cambiar accidentalmente, no pasa a menudo. Otro aspecto importante es mejorar la seguridad en torno al  ransomware , identificado a las personas más atacadas dentro de la empresa (VAP o  Very Attacked People ), implantando una política de gestión de accesos y de recuperación de desastres sólidos, seguridad en la nube y prevención de pérdida de datos.

Por último, dentro del apartado de respuesta e investigación, habrá que aumentar las versiones restaurables de documentos en las configuraciones de M365 y O365, identificar alertas anteriores de compromisos de cuentas o cambios en la configuración, buscar actividad sospechosa de terceros o de usuarios con patrones de comportamiento alejado de las políticas establecidas, sin olvidar incrementar la formación en seguridad y concienciación sobre amenazas entre empleados.

 

Autor

[mdx-adserve-bstreet region="MED"]

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba