Ransomware heeft de afgelopen jaren een gigantische opmars gekend. Het doelwit voor cryptolockers waren vooral computers en servers. De afgelopen tijd zien we meer en meer dat hetzelfde fenomeen van cryptolocking verschuift naar Office 365.
Aanvallers zijn zich ten volle bewust dat gebruikers van SaaS e-mail producten (Office 365, GSuite) zich niet bewust zijn van het ontbreken van actieve backups. Hierin zit dus het nieuwe goud verscholen!
Hoe werkt zo’n crypto aanval op een mailbox nu exact?
De aanvaller gaat op dezelfde manier te werk als voorheen: de gebruiker krijgt een malafide e-mail met een link naar een legitieme Office 365 pagina. Deze pagina vraagt vervolgens om een (niet legitieme) app te authenticeren op zijn Office 365 account. Dit is hetzelfde proces dat een gebruiker zou doorlopen om bijvoorbeeld zijn Dropbox of 3th party applicatie te koppelen aan zijn Office 365.
Wat gebeurt er in werkelijkheid?
De gebruiker heeft zonder het te beseffen de aanvaller een oAuth token gegeven op zijn mailbox! Een O-watte? Een oAuth token kan je vergelijken met een toegangsticket voor je mailbox, met zo’n ticket kan je bepaalde zaken doen in je mailbox zonder dat je telkens je gebruikersnaam en wachtwoord moet opgeven.
Nadat de aanvaller zo’n oAuth token heeft verkregen heeft hij vrij spel, hij start een automatisch encryptie proces op wat AL je e-mails in je mailbox zal encrypteren en onleesbaar zal maken. Finaal laat hij 1 leesbare e-mail achter met daarin de melding dat je mailbox encrypted is en met de vraag om een bedrag in bitcoin over te schrijven om zo je mailbox terug te laten decrypteren.
Betalen of niet?
Ons advies hierin is duidelijk: betaal NOOIT voor ransomware, je weet ten eerste niet of je na betaling terug aan je data zal kunnen en daarnaast financier je op die manier nieuwe ransomware aanvallen.
Wanneer je beschikt over een volwaardige backup is het zeer eenvoudig om de ganse mailbox terug te herstellen naar de laatste beschikbare backup met een minimaal verlies aan data. Hier wringt echter het schoentje in nogal wat bedrijven. Veel bedrijven denken immers dat Microsoft wel beschikt over een volwaardige backup, maar niets is minder waar. In een vorige blogpost vertelden we jullie wat Microsoft nu net wel voorziet en wat je best zelf nog voorziet.
2 tips voor Office 365 beheerders
Onze 2 gouden tips voor beheerders van een Office 365 tenant:
- Zorg ervoor dat gebruikers zelf geen apps toegang kunnen geven bedrijfsdata via Azure Active Directory. Weet je niet juist hoe dit te doen? Als Microsoft Silver partner vertellen we je graag hoe je dit exact doet, contacteer ons voor meer informatie!
- Voorzie in actieve Office 365 backups! Probeer gedurende 30 dagen gratis onze Office 365 backup oplossingen uit, niet tevreden? niets verloren! Claim je 30 dagen trial hier.