Se ha observado que el actor de amenaza de motivación financiera conocido como Storm-0501 refina sus tácticas para realizar la exfiltración de datos y los ataques de extorsión dirigidos a los entornos de la nube. «A diferencia del ransomware tradicional local, donde el actor de amenaza generalmente despliega malware para cifrar archivos críticos en los puntos finales dentro de la red comprometida y luego negocia una clave de descifrado, el ransomware basado en la nube presenta un cambio fundamental», dijo el equipo de inteligencia de amenazas de Microsoft en un informe compartido con The Hacker News. «Aprovechar las capacidades nativas de la nube, Storm-0501 exfiltra rápidamente grandes volúmenes de datos, destruye datos y copias de seguridad dentro del entorno de víctimas y exige el rescate, todo sin depender de la implementación tradicional de malware». Microsoft documentó por primera vez Storm-0501 hace casi un año, detallando sus ataques híbridos de ransomware en la nube dirigidos al gobierno, la fabricación, el transporte y los sectores de aplicación de la ley en los Estados Unidos, con los actores de amenaza que giran desde locales hasta la nube para la exfiltración de datos posterior, el robo de credenciales y el despliegue de la reducción de la red. Evaluado como activo desde 2021, el grupo de piratería se ha convertido en un afiliado de ransomware como servicio (RAAS) que ofrece varias cargas útiles de ransomware a lo largo de los años, como Sabbath, Hive, Blackcat (AlphV), Hunters International, Lockbit y Embargo. «Storm-0501 ha seguido demostrando competencia en el movimiento entre los entornos locales y en la nube, ejemplificando cómo los actores de amenaza se adaptan a medida que crece la adopción de nubes híbridas», dijo la compañía. «Castan dispositivos no administrados y brechas de seguridad en entornos de nubes híbridos para evadir la detección y aumentar los privilegios de la nube y, en algunos casos, atravesar a los inquilinos en configuraciones de múltiples inquilinos para lograr sus objetivos». Los motos de ataque típicos involucran al actor de amenaza que abusa de su acceso inicial para lograr la escalada de privilegios a un administrador de dominio, seguido de un movimiento lateral en las instalaciones y pasos de reconocimiento que permiten a los atacantes violar el entorno de la nube del objetivo, iniciando así una secuencia de la etapa múltiple que involucra persistencia, persistencia de privilegio, exfiltración de datos, encriones y extinción y extinción. El acceso inicial, por Microsoft, se logra a través de intrusiones facilitadas por corredores de acceso como Storm-0249 y Storm-0900, aprovechando las credenciales robadas y comprometidas para iniciar sesión en el sistema de destino, o explotar varias vulnerabilidades de ejecución de código remoto conocido en servidores sin marcar públicos. En una campaña reciente dirigida a una gran empresa sin nombre con múltiples subsidiarias, se dice que Storm-0501 realizó un reconocimiento antes de moverse lateralmente a través de la red utilizando Evil-WinRM. Los atacantes también llevaron a cabo lo que se llama un ataque DCSYNC para extraer credenciales de Active Directory simulando el comportamiento de un controlador de dominio. «Aprovechando su punto de apoyo en el entorno de Active Directory, atravesaron entre los dominios de Active Directory y finalmente se movieron lateralmente para comprometer un segundo servidor de Connect ENTRA asociado con un inquilino ID diferente y el dominio de Active Directory», dijo Microsoft. «El actor de amenaza extrajo la cuenta de sincronización del directorio para repetir el proceso de reconocimiento, esta vez dirigiendo identidades y recursos en el segundo inquilino». Estos esfuerzos finalmente permitieron a STORM-0501 identificar una identidad sincronizada no humana con un papel de administración global en Microsoft Entra ID en ese inquilino, y careciendo de protecciones de autenticación multifactor (MFA). Posteriormente, esto abrió la puerta a un escenario en el que los atacantes restablecen la contraseña loca del usuario, lo que hace que se sincronice con la identidad en la nube de ese usuario utilizando el servicio de sincronización Entra Connect. Armados con la cuenta de administración global comprometida, se ha encontrado que los intrusos digitales acceden al portal de Azure, registrando a un inquilino de ID de Entra de amenazas como un dominio federado de confianza para crear una puerta trasera, y luego elevar su acceso a recursos de Azure críticos, antes de preparar el escenario para la exfiltración de datos y la extorsión. «Después de completar la fase de exfiltración, Storm-0501 inició la eliminación masiva de los recursos de Azure que contienen los datos de la organización de víctimas, evitando que la víctima tome acciones de remediación y mitigación restaurando los datos», dijo Microsoft. «Después de exfiltrar y destruir con éxito los datos dentro del entorno de Azure, el actor de amenaza inició la fase de extorsión, donde contactaron a las víctimas usando equipos de Microsoft utilizando uno de los usuarios previamente comprometidos, exigiendo un rescate». La compañía dijo que ha promulgado un cambio en Microsoft Entra ID que evita que los actores de amenaza abusen de las cuentas de sincronización de directorio para aumentar los privilegios. También ha publicado actualizaciones a Microsoft Entra Connect (versión 2.5.3.0) para admitir la autenticación moderna para permitir a los clientes configurar la autenticación basada en aplicaciones para una seguridad mejorada. «También es importante habilitar el módulo de plataforma confiable (TPM) en el servidor de sincronización Entra Connect para almacenar de forma segura credenciales confidenciales y claves criptográficas, mitigando las técnicas de extracción de credenciales de Storm-0501», agregó el gigante tecnológico.