마이크로소프트365 제품군에서 SharePoint, OneDrive에 저장된 파일을 암호화하는 랜섬웨어가 발견됐다.
프루프포인트 연구원에 따르면, 해커는 랜섬웨어를 통해 Office 365, 마이크로소프트 365에서 해독 키 없이는 복구할 수 없게 파일을 암호화하는 것으로 알려졌다.
연구원은 이번 공격에 대해 “파일을 복구할 수 있는 방법은 복호화 키를 받기 위해 몸값을 지불하는 것 뿐이다. 또한 이 공격은 마이크로소프트 API, 명령줄 인터페이스(CLI) 스크립트, PowerShell 스크립트를 사용해 자동화될 수 있다”라고 설명했다.
이 랜섬웨어 공격의 프로세스는 다음과 같다.
• 초기 접근: 하이재킹을 통해 사용자의 SharePoint Online 혹은 OneDrive 계정에 대한 접근 권한을 얻는다.
• 계정 탈취-검색: 사용자가 소유하거나 타사 OAuth 응용 프로그램이 제어하는 모든 파일에 접근한다.
• 수집-반출: 파일의 버전 제한을 1과 같은 낮은 숫자로 낮춘다. 버전 제한보다 더 많이 파일을 암호화한다. 예제 제한이 1인 경우 파일을 두 번 암호화한다. 이 단계는 엔드포인트 기반 랜섬웨어에 대한 공격 체인과 비교해 클라우드 랜섬웨어에 해당한다. 경우에 따라 해커는 암호화되지 않은 파일을 유출할 수도 있다.
• 몸값 요구: 이제 모든 파일이 암호화된 채로 클라우드 계정에 남는다. 이를 통해 해커는 몸값을 요구한다.
연구원에 따르면, 이 랜섬웨어는 사용자가 OneDrive 혹은 SharePoint Online에 저장된 파일을 편집할 때 이전 파일 버전의 클라우드 백업을 생성하는 AutoSave 기능을 사용한다. 이를 통해 해커는 아주 많은 버전의 파일을 복사하거나, 문서 라이브러리의 버전 제한을 1과 같이 낮은 값으로 줄여 각 파일을 버전 제한보다 더 많이 암호화할 수 있다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.