O ator de ameaças conhecido como Storm-0501 tem como alvos os setores governamentais, de manufatura, transporte e aplicação da lei nos EUA, para realizar ataques de ransomware.
A campanha de ataque em múltiplas etapas é projetada para comprometer ambientes de nuvem híbrida e realizar movimentos laterais do ambiente local para o ambiente em nuvem, resultando finalmente em exfiltração de dados, roubo de credenciais, adulteração, acesso persistente através de backdoor e deploy de ransomware, disse a Microsoft.
"Storm-0501 é um grupo de cibercriminosos motivado financeiramente que usa ferramentas comuns e de código aberto para conduzir operações de ransomware," segundo a equipe de inteligência de ameaças da gigante da tecnologia.
Ativo desde 2021, o ator de ameaças tem um histórico de mirar em entidades educacionais com ransomware Sabbath (54bb47h) antes de evoluir para um afiliado de ransomware-como-serviço (RaaS), entregando vários payloads de ransomware ao longo dos anos, incluindo Hive, BlackCat (ALPHV), Hunters International, LockBit e Embargo ransomware.
Um aspecto notável dos ataques do Storm-0501 é o uso de credenciais fracas e contas com privilégios excessivos para mover-se das organizações locais para a infraestrutura em nuvem.
Outros métodos de acesso inicial incluem o uso de um ponto de apoio já estabelecido por corretores de acesso como Storm-0249 e Storm-0900, ou a exploração de diversas vulnerabilidades conhecidas de execução remota de código em servidores voltados para a internet não patcheados, como Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion 2016.
O acesso proporcionado por qualquer uma das abordagens mencionadas abre caminho para extensas operações de descoberta para determinar ativos de alto valor, coletar informações de domínio e realizar reconhecimento de Active Directory.
Isso é seguido pelo deploy de ferramentas de monitoramento e gestão remota (RMMs), como AnyDesk, para manter a persistência.
"O ator de ameaças aproveitou os privilégios de admin nos dispositivos locais que comprometeu durante o acesso inicial e tentou ganhar acesso a mais contas dentro da rede por vários métodos," disse a Microsoft.
O ator de ameaças utilizou principalmente o módulo SecretsDump do Impacket, que extrai credenciais pela rede, e o aproveitou em um número extenso de dispositivos para obter credenciais.
As credenciais comprometidas são então usadas para acessar ainda mais dispositivos e extrair credenciais adicionais, com o ator de ameaças acessando simultaneamente arquivos sensíveis para extrair segredos do KeePass e conduzindo ataques de força bruta para obter credenciais para contas específicas.
A Microsoft disse que detectou o Storm-0501 empregando Cobalt Strike para se mover lateralmente através da rede usando as credenciais comprometidas e enviar comandos subsequentes.
A exfiltração de dados do ambiente local é realizada usando o Rclone para transferir os dados para o serviço de armazenamento em nuvem pública MegaSync.
O ator de ameaças também foi observado criando acesso persistente a backdoor para o ambiente em nuvem e deploy de ransomware para o local, tornando-se o mais recente ator de ameaças a mirar configurações de nuvem híbrida após o Octo Tempest e o Manatee Tempest.
"O ator de ameaças usou as credenciais, especificamente o Microsoft Entra ID (anteriormente Azure AD), que foram roubadas anteriormente no ataque para mover-se lateralmente do ambiente local para o ambiente em nuvem e estabelecer acesso persistente à rede-alvo através de um backdoor," disse Redmond.
A movimentação para a nuvem é dita ser realizada ou através de uma conta de usuário comprometida do Microsoft Entra Connect Sync ou através do sequestro de sessão em nuvem de uma conta de usuário local que tem uma conta de admin correspondente na nuvem com autenticação multifator (MFA) desabilitada.
O ataque culmina com o deploy do ransomware Embargo em toda a organização vítima, após obter controle suficiente sobre a rede, exfiltrar arquivos de interesse e movimento lateral para a nuvem.
O Embargo é um ransomware baseado em Rust descoberto pela primeira vez em maio de 2024.
"Operando sob o modelo RaaS, o grupo de ransomware por trás do Embargo permite que afiliados como Storm-0501 usem sua plataforma para lançar ataques em troca de uma parte do resgate," disse a Microsoft.
Afiliados do Embargo empregam táticas de extorsão dupla, onde primeiro criptografam os arquivos da vítima e ameaçam vazar dados sensíveis roubados a menos que um resgate seja pago.
A divulgação vem enquanto o grupo de ransomware DragonForce tem como alvo empresas nos setores de manufatura, imobiliário e transporte usando uma variante do LockBit3.0 builder vazado e uma versão modificada do Conti.
Os ataques são caracterizados pelo uso do backdoor SystemBC para persistência, Mimikatz e Cobalt Strike para colheita de credenciais e Cobalt Strike para movimento lateral.
Os EUA representam mais de 50% do total de vítimas, seguidos pelo Reino Unido e Austrália.
"O grupo emprega táticas de extorsão dupla, criptografando dados e ameaçando vazamentos a menos que um resgate seja pago," disse a Group-IB, com sede em Singapura.
O programa de afiliados, lançado em 26 de junho de 2024, oferece 80% do resgate aos afiliados, junto com ferramentas para gestão e automação de ataques.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...