Proofpoint detecta riesgo de ‘ransomware’ en Microsoft Office 365 con archivos ‘cloud’

Los equipos de TI y seguridad han confiado bastante en la capacidad de las unidades en la nube para resistir el ransomware. Con guardado automático, control de versiones y papelera, puede hacer una copia de seguridad de sus archivos fácilmente. Además, estos tipos de ataques tradicionalmente apuntan a datos en puntos finales o unidades de red. Pero esa serenidad parece estar contada. La empresa de ciberseguridad y cumplimiento Proofpoint muestra que los ciberdelincuentes pueden apuntar a los datos en la nube de una organización y lanzar ataques a esa infraestructura.

Según la nueva investigación, una característica potencialmente peligrosa de Office 365 o Microsoft 365 permitiría que el ransomware cifre archivos almacenados en SharePoint y OneDrive, dos de las aplicaciones empresariales en la nube más utilizadas en la actualidad, hasta que no se puedan recuperar. Proofpoint documenta cada paso que dan los ciberdelincuentes en la cadena de ataque, comenzando con el acceso y el control de las cuentas de SharePoint y OneDrive. Con este fin, los atacantes optan por comprometer directamente las credenciales del usuario a través de phishing de correo electrónico o ataques de fuerza bruta, aplicaciones OAuth de terceros o secuestro de sesiones web.

Una vez alcanzado, un atacante puede tomar cualquier archivo, reducir su límite de versión a uno si es posible y cifrar el archivo más que ese límite de versión, por ejemplo, dos veces en este caso. Este es un paso único que diferencia los ataques de ransomware en la nube de los que tienen lugar en los puntos finales. De esta forma, se pierden todas las versiones originales de los archivos, es decir, los archivos anteriores al atacante, quedando solo los archivos cifrados. Es en este punto cuando los ciberdelincuentes exigirán pagos de rescate a las organizaciones afectadas.

En España, precisamente, el ransomware (32%) y el compromiso de cuentas en la nube (31%) son dos de las principales amenazas que se dirigen a las organizaciones, de acuerdo a una encuesta anual a CISOs de Proofpoint. Para proteger a las empresas, la compañía de ciberseguridad incide en que muchas de las recomendaciones generales en cuanto a ransomware deben aplicarse también en entornos cloud.

En primer lugar, se aconseja activar la detección de cambios de configuración en archivos peligrosos. Si bien esta configuración es algo que el usuario puede cambiar accidentalmente, no pasa menudo. Otro aspecto importante es mejorar la seguridad en torno al ransomware, identificado a las personas más atacadas dentro de la empresa (VAP o Very Attacked People), implantando una política de gestión de accesos y de recuperación de desastres sólida, seguridad en la nube y prevención de pérdida de datos.

Por último, dentro del apartado de respuesta e investigación, habría que aumentar versiones restaurables de documentos en las configuraciones de M365 y O365, identificar alertas anteriores de compromisos de cuentas o cambios en la configuración, buscar actividad sospechosa de terceros o de usuarios con patrones de comportamiento alejados de las políticas establecidas, sin olvidar incrementar la formación en seguridad y concienciación sobre amenazas entre empleados.

Ir arriba