Ransomware mira ambientes de nuvem
30 de Setembro de 2024

A Microsoft alertou que o ator de ameaças de ransomware Storm-0501 mudou recentemente suas táticas, agora visando ambientes de nuvem híbridos, expandindo sua estratégia para comprometer todos os ativos da vítima.

O ator de ameaças apareceu primeiro em 2021 como um afiliado de ransomware para a operação Sabbath.

Mais tarde, eles começaram a implantar malware de criptografia de arquivos de gangues como Hive, BlackCat, LockBit e Hunters International.

Recentemente, observou-se que eles implantam o ransomware Embargo.

Os ataques recentes do Storm-0501 visaram hospitais, governos, indústrias, organizações de transporte e agências de aplicação da lei nos Estados Unidos.

O atacante obtém acesso a ambientes de nuvem explorando credenciais fracas e aproveitando contas privilegiadas, com o objetivo de roubar dados e executar um payload de ransomware.

A Microsoft explica que o Storm-0501 obtém acesso inicial à rede com credenciais roubadas ou compradas, ou explorando vulnerabilidades conhecidas.

Algumas das falhas usadas em ataques recentes são CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler) e possivelmente CVE-2023-29300 ou CVE-2023-38203 (ColdFusion 2016).

O adversário move-se lateralmente usando frameworks como Impacket e Cobalt Strike, rouba dados por meio de um binário Rclone personalizado renomeado para imitar uma ferramenta do Windows, e desativa agentes de segurança com cmdlets do PowerShell.

Aproveitando credenciais roubadas do Microsoft Entra ID (anteriormente Azure AD), Storm-0501 passa de ambientes on-premise para a nuvem, comprometendo contas de sincronização e sequestrando sessões para persistência.

As contas do Microsoft Entra Connect Sync são cruciais para sincronizar dados entre o Active Directory (AD) local e o Microsoft Entra ID baseado em nuvem e normalmente permitem uma ampla gama de ações sensíveis.

Se os atacantes possuírem as credenciais para a Conta de Sincronização do Diretório, eles podem usar ferramentas especializadas como AADInternals para alterar senhas na nuvem, assim, contornando proteções adicionais.

Se um admin de domínio ou outra conta on-premise de alto privilégio também existir no ambiente de nuvem e faltar proteções adequadas (por exemplo, autenticação multifator), Storm-0501 pode usar as mesmas credenciais para acessar a nuvem novamente.

Após obter acesso à infraestrutura de nuvem, o ator de ameaça planta uma backdoor persistente, criando um novo domínio federado dentro do locatário do Microsoft Entra, o que lhes permite autenticar como qualquer usuário cuja propriedade "Immutableid" seja conhecida ou configurada por eles.

No passo final, os atacantes irão ou implantar o ransomware Embargo nos ambientes on-premise e na nuvem da vítima ou manter acesso a backdoor para um momento posterior.

"Observamos que o ator de ameaça nem sempre recorreu à distribuição do ransomware, e em alguns casos apenas manteve acesso a backdoor à rede", disse a Microsoft.

O payload do ransomware é implantado usando contas comprometidas como Domain Admin, via tarefas agendadas ou Objetos de Política de Grupo (GPOs) para criptografar arquivos nos dispositivos da organização.

O grupo de ameaças Embargo usa malware baseado em Rust para executar sua operação de ransomware como serviço (RaaS) que aceita afiliados que invadem empresas para implantar o payload e compartilhar parte do lucro com os desenvolvedores.

Em agosto de 2024, um afiliado do ransomware Embargo atacou a American Radio Relay League (ARRL) e recebeu $1 milhão em troca de um decodificador funcional.

No início deste ano, em maio, um afiliado do Embargo invadiu a Firstmac Limited, uma das maiores empresas de empréstimo hipotecário e gestão de investimentos da Austrália, e vazou 500GB de dados sensíveis roubados quando o prazo para negociar uma solução foi alcançado.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...