El último blog de inteligencia sobre amenazas de Microsoft emite una advertencia a todas las organizaciones sobre el reciente cambio de Storm-0501 en tácticas, objetivos y puertas traseras en entornos de nube híbrida. Utilizando una serie de tácticas para lograr sus objetivos, Storm-0501 tiende a tomar el control de redes enteras a través de compromisos en la nube. Los miembros primero obtienen acceso a entornos locales antes de pasar a la nube, implantar puertas traseras para acceso persistente e implementar ransomware. Activo desde 2021, Storm-0501 todavía se considera un grupo emergente en opinión de Microsoft, de ahí la convención de nomenclatura «Storm» reservada para grupos aún en desarrollo. A pesar de su estado incipiente, el grupo ha sido prolífico en la realización de ataques de ransomware como miembro de los programas afiliados de ransomware LockBit, ALPHV, Hive y Hunters International. Más recientemente, Microsoft descubrió que estaba implementando la carga útil de ransomware de Embargo y la comparó por separado con grupos más establecidos y motivados financieramente como Octo Tempest (Scattered Spider) y Manatee Tempest (Evil Corp). Un ataque típico de Storm-0501 es bastante estándar y no trae muchas sorpresas. Los intermediarios de acceso inicial (IAB) se utilizan para el acceso inicial en muchos casos, mientras que las vulnerabilidades en los servidores públicos también se explotan cuando es necesario. El grupo apunta a cuentas con demasiados privilegios durante esta fase y una vez que sus miembros obtienen el control de ellas, generalmente utilizan el módulo SecretsDump de Impacket para buscar credenciales adicionales que puedan usarse para comprometer más cuentas. Este proceso se repite hasta que numerosas cuentas estén bajo el control de los atacantes y, en un mundo ideal para ellos, esto incluiría varias cuentas de administrador de dominio. El viejo y fiel Cobalt Strike se utiliza para el movimiento lateral, que a menudo termina en el acceso al controlador de dominio y, posteriormente, en el robo de datos y la implementación de ransomware. Sin embargo, los ataques recientes han generado preocupación entre los investigadores. Durante la fase de recopilación de credenciales, Storm-0501 utilizó credenciales robadas para Entra ID para pasar del entorno local al entorno de la nube, donde procederían a implantar una puerta trasera. Los atacantes emplearon dos métodos diferentes para obtener el control de Entra ID; el primero fue comprometer las cuentas del servicio Entra Connect Sync, cuyas credenciales se guardan de forma cifrada en el disco del servidor o en el servidor SQL remoto. «Podemos evaluar con gran confianza que en la reciente campaña Storm-0501, el actor de amenazas ubicó específicamente los servidores de Microsoft Entra Connect Sync y logró extraer las credenciales de texto sin formato de la nube de Microsoft Entra Connect y las cuentas de sincronización locales», escribió Microsoft. . «Evaluamos que el actor de amenazas pudo lograr esto debido a las actividades maliciosas anteriores descritas en esta publicación de blog, como el uso de Impacket para robar credenciales y claves de cifrado DPAPI, y la manipulación de productos de seguridad». El compromiso de Microsoft Entra Connect La cuenta de sincronización presenta un alto riesgo para el objetivo, ya que puede permitir que el actor de la amenaza establezca o cambie las contraseñas de Microsoft Entra ID de cualquier cuenta híbrida (cuenta local que esté sincronizada con Microsoft Entra ID)». Otra táctica que tiene Storm-0501 Lo que se utiliza para pasar con éxito a la nube es comprometer una cuenta de administrador de dominio local que tiene un equivalente en la nube que no está protegido con MFA y que también tiene una función de administrador global. El servicio de sincronización no está disponible para este tipo de cuentas. Entra, por lo que un atacante tendría que tener la suerte de encontrar una cuenta que no esté protegida por MFA y que también use la misma contraseña que la cuenta local. Tener MFA habilitado haría que esta vía de ataque fuera mucho más compleja y menos probable. exitoso. En este caso, un atacante tendría que alterar la protección MFA o tomar medidas adicionales para comprometer el dispositivo de un usuario y secuestrar su sesión en la nube o extraer tokens de acceso de Entra. Cualquiera que sea la ruta que tome Storm-0501, a menudo conduce a la implantación de puertas traseras para el acceso persistente mediante la creación de un dominio federado, lo que le permite autenticarse como cualquier usuario inquilino de Entra ID. Una vez que el objetivo está completamente comprometido y sus datos se han eliminado, es cuando el ransomware entra o no. Si bien Storm-0501 ahora opta por la carga útil de Embargo, que sigue el típico modelo de doble extorsión, no todos sus ataques conducen a la implementación de ransomware. Algunos simplemente se detuvieron después de que se estableció la puerta trasera, dijo Microsoft en su blog, que también incluye consejos para buscar amenazas y una extensa colección de indicadores de compromiso. ®