 |
Un nuevo grupo de ciberdelincuentes llamado 0mega está atacando a empresas de todo el mundo con una estrategia de extorsión basada en el robo de datos. En lugar de cifrar los archivos de sus víctimas con un malware, los hackers aprovechan las cuentas comprometidas de Microsoft 365 para acceder a los recursos de SharePoint Online y extraer cientos de documentos confidenciales. Luego, suben miles de archivos de texto con instrucciones para contactar con ellos y negociar el pago de un rescate en bitcoins. Si no se paga, amenazan con publicar los datos robados en su sitio web dedicado. |
0mega es una operación relativamente nueva que se lanzó en mayo de 2022 y ha atacado a varias víctimas desde entonces. Sin embargo, una muestra de su ransomware no ha sido encontrada todavía, por lo que no se sabe mucho sobre cómo cifran los archivos. Lo que sí se sabe es que el ransomware añade la extensión .0mega a los nombres de los archivos cifrados y crea notas de rescate llamadas DECRYPT-FILES.txt. Estas notas son personalizadas por víctima, e incluyen el nombre de la empresa y una descripción de los tipos de datos robados en los ataques. Además, algunas notas contienen amenazas sobre cómo el grupo 0mega divulgará el ataque a los socios comerciales y a las asociaciones profesionales si no se paga el rescate.
Según la firma de seguridad Obsidian Security, que ayudó a una empresa afectada por este ataque, los hackers consiguieron comprometer una cuenta de servicio global de Microsoft que no tenía habilitada la autenticación multifactor. Luego, usaron esa cuenta para crear un nuevo usuario llamado 0mega y le otorgaron varios permisos (Administrador Global, Administrador de SharePoint, Administrador de Exchange, Administrador de Teams). Después, la cuenta comprometida concedió al usuario 0mega capacidades de administrador de colección de sitios para varios sitios y colecciones de SharePoint, al mismo tiempo que eliminaba a los administradores existentes. Más de 200 operaciones de eliminación de administradores ocurrieron en un período de 2 horas. Finalmente, los atacantes exfiltraron cientos de archivos de la empresa y subieron miles de archivos PREVENT-LEAKAGE.txt para llamar la atención sobre la exfiltración de datos.
Este enfoque es diferente al que se ha observado en otros casos, donde algunas empresas tuvieron sus instancias de SharePoint 365 cifradas cuando los atacantes sincronizaron los archivos cifrados en la máquina o en la unidad mapeada del usuario comprometido con SharePoint. Se trata, por tanto, de una nueva amenaza que hay que tener en cuenta y que demuestra la importancia de proteger las cuentas y los recursos en la nube.
Fuente: https://www.helpnetsecurity.com/2023/06/07/0mega-ransomware-gang-changes-tactics/?web_view=true
https://www.obsidiansecurity.com/blog/saas-ransomware-observed-sharepoint-microsoft-365/