El grupo de amenazas Storm-0501 está refinando sus tácticas, según Microsoft, alejándose de los ataques tradicionales basados ​​en el punto final y hacia el ransomware basado en la nube. By aprovechando las capacidades nativas de la nube en la nube, el análisis del gigante tecnológico muestra tormenta 0501 exfiltrada grandes volúmenes de datos, destruye datos y copias de seguridad dentro del entorno de víctimas y exige el paso de la víctima de la víctima y no exige el ranso de la velocidad y sin receptoras de la velocidad. Año, Microsoft advirtió que Storm-0501 había ampliado sus operaciones de ransomware locales en entornos de nube híbridos. El grupo ha demostrado tener entornos de activo de directorio comprometidos antes de pivotar a Microsoft Entra ID, aumentando los privilegios de los privilegios de las identidades híbridas y en la nube para obtener privilegios de administración global. adaptarse a medida que crece la adopción de la nube híbrida «, dijo el equipo de inteligencia de amenazas de Microsoft.» Castan por dispositivos no administrados y brechas de seguridad en entornos de nube híbridos para evadir la detección y aumentar los privilegios de la nube y, en algunos casos, los inquilinos transversales en la configuración multiinquilir de múltiples subsidiarias. Cada uno operó su propio dominio de Active Directory, todos interconectados a través de relaciones de confianza de dominio y habilitando la autenticación de dominio cruzado y el acceso a los recursos. SIGNIFICACIÓN hoy y recibirá una copia gratuita de nuestro Fouse Focus 2025: la guía líder en AI, CyberSecurity y otros desafíos de TI con el dominio de 700+ Senior. a la licencia de este inquilino único, creando brechas de visibilidad en todo el medio ambiente. Storm-0501 verificó la presencia de defensor para los servicios de punto final, lo que sugiere un esfuerzo deliberado para evitar la detección al dirigirse a los sistemas no abordados, dijo Microsoft. Sesiones iniciadas con Evil-WinRM, así como el descubrimiento utilizando otras herramientas y comandos comunes de Windows Nations como Quser.exe y net.exe.earlier en el ataque, Storm-0501 había comprometido un servidor de sincronización de Entra Connect que no estaba a bordo de Defender para el punto final, y qué Microsoft Feakons se usaba como un punto de Pivot, con el grupo que estableció un Tunnel para el movimiento a más de la red. DCSYNC Attack, abusando del protocolo remoto del Servicio de Replicación de Directorio (DRS) para simular el comportamiento de un controlador de dominio, lo que le permite solicitar hashes de contraseña para cualquier usuario en el dominio, incluidos cuentas privilegiadas. Luego, luego se inclinan a la nube, aprovechando la cuenta de sincronización de Sync de Entra Connect Sync. A partir de entonces, el actor de amenaza intentó iniciar sesión como varios usuarios privilegiados. dominios y eventualmente moverse lateralmente para comprometer un segundo servidor Entra Connect e identificar una identidad de administrador que no tenía habilitado MFA, lo que le permite asignar una nueva contraseña «. Desde el punto de que el actor de amenaza pudo cumplir con éxito con las políticas de acceso condicional e iniciar sesión en el portal de Azure como una cuenta de administrador global, la tormenta -0501 esencialmente logró el control completo sobre el dominio de la nube», dijeron los investigadores de la nube «, dijeron los investigadores de la amenaza de Azure como una amenaza global. privilegios para obtener sus objetivos en la nube. «Asegúrese de seguir a ITPro en Google News para vigilar todas nuestras últimas noticias, análisis y reseñas. Más de ITPro