A Microsoft alertou que o ator de ameaças de ransomware Storm-0501 mudou recentemente suas táticas, agora visando ambientes de nuvem híbridos, expandindo sua estratégia para comprometer todos os ativos da vítima.
O ator de ameaças apareceu primeiro em 2021 como um afiliado de ransomware para a operação Sabbath.
Mais tarde, eles começaram a implantar malware de criptografia de arquivos de gangues como Hive, BlackCat, LockBit e Hunters International.
Recentemente, observou-se que eles implantam o ransomware Embargo.
Os ataques recentes do Storm-0501 visaram hospitais, governos, indústrias, organizações de transporte e agências de aplicação da lei nos Estados Unidos.
O atacante obtém acesso a ambientes de nuvem explorando credenciais fracas e aproveitando contas privilegiadas, com o objetivo de roubar dados e executar um payload de ransomware.
A Microsoft explica que o Storm-0501 obtém acesso inicial à rede com credenciais roubadas ou compradas, ou explorando vulnerabilidades conhecidas.
Algumas das falhas usadas em ataques recentes são
CVE-2022-47966
(Zoho ManageEngine),
CVE-2023-4966
(Citrix NetScaler) e possivelmente
CVE-2023-29300
ou
CVE-2023-38203
(ColdFusion 2016).
O adversário move-se lateralmente usando frameworks como Impacket e Cobalt Strike, rouba dados por meio de um binário Rclone personalizado renomeado para imitar uma ferramenta do Windows, e desativa agentes de segurança com cmdlets do PowerShell.
Aproveitando credenciais roubadas do Microsoft Entra ID (anteriormente Azure AD), Storm-0501 passa de ambientes on-premise para a nuvem, comprometendo contas de sincronização e sequestrando sessões para persistência.
As contas do Microsoft Entra Connect Sync são cruciais para sincronizar dados entre o Active Directory (AD) local e o Microsoft Entra ID baseado em nuvem e normalmente permitem uma ampla gama de ações sensíveis.
Se os atacantes possuírem as credenciais para a Conta de Sincronização do Diretório, eles podem usar ferramentas especializadas como AADInternals para alterar senhas na nuvem, assim, contornando proteções adicionais.
Se um admin de domínio ou outra conta on-premise de alto privilégio também existir no ambiente de nuvem e faltar proteções adequadas (por exemplo, autenticação multifator), Storm-0501 pode usar as mesmas credenciais para acessar a nuvem novamente.
Após obter acesso à infraestrutura de nuvem, o ator de ameaça planta uma backdoor persistente, criando um novo domínio federado dentro do locatário do Microsoft Entra, o que lhes permite autenticar como qualquer usuário cuja propriedade "Immutableid" seja conhecida ou configurada por eles.
No passo final, os atacantes irão ou implantar o ransomware Embargo nos ambientes on-premise e na nuvem da vítima ou manter acesso a backdoor para um momento posterior.
"Observamos que o ator de ameaça nem sempre recorreu à distribuição do ransomware, e em alguns casos apenas manteve acesso a backdoor à rede", disse a Microsoft.
O payload do ransomware é implantado usando contas comprometidas como Domain Admin, via tarefas agendadas ou Objetos de Política de Grupo (GPOs) para criptografar arquivos nos dispositivos da organização.
O grupo de ameaças Embargo usa malware baseado em Rust para executar sua operação de ransomware como serviço (RaaS) que aceita afiliados que invadem empresas para implantar o payload e compartilhar parte do lucro com os desenvolvedores.
Em agosto de 2024, um afiliado do ransomware Embargo atacou a American Radio Relay League (ARRL) e recebeu $1 milhão em troca de um decodificador funcional.
No início deste ano, em maio, um afiliado do Embargo invadiu a Firstmac Limited, uma das maiores empresas de empréstimo hipotecário e gestão de investimentos da Austrália, e vazou 500GB de dados sensíveis roubados quando o prazo para negociar uma solução foi alcançado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...