O ator de ameaça motivado financeiramente conhecido como Storm-0501 vem aprimorando suas táticas para realizar ataques de exfiltração de dados e extorsão direcionados a ambientes de cloud.
“Diferentemente do ransomware tradicional on-premises, onde o ator de ameaça geralmente implanta malware para criptografar arquivos críticos em endpoints dentro da rede comprometida e depois negocia uma chave de descriptografia, o ransomware baseado em cloud representa uma mudança fundamental”, afirmou a equipe de Microsoft Threat Intelligence em um relatório compartilhado com o site The Hacker News.
Aproveitando as capacidades nativas da cloud, o Storm-0501 exfiltra rapidamente grandes volumes de dados, destrói dados e backups dentro do ambiente da vítima e exige resgate — tudo isso sem depender da implantação tradicional de malware.
O Storm-0501 foi documentado pela primeira vez pela Microsoft há cerca de um ano, detalhando seus ataques híbridos de ransomware em cloud direcionados aos setores governamental, industrial, de transporte e forças de segurança nos EUA.
O grupo vem migrando do ambiente on-premises para cloud para realizar exfiltração de dados, roubo de credenciais e implantação de ransomware.
Ativo desde 2021, o grupo evoluiu para um afiliado de ransomware-as-a-service (RaaS), oferecendo diversos payloads de ransomware ao longo dos anos, como Sabbath, Hive, BlackCat (ALPHV), Hunters International, LockBit e Embargo.
“O Storm-0501 continua demonstrando proficiência na movimentação entre ambientes on-premises e cloud, exemplificando como os atores de ameaça se adaptam diante do crescimento da adoção do hybrid cloud,” afirmou a empresa.
Eles buscam dispositivos não gerenciados e falhas de segurança em ambientes híbridos para evitar detecção, escalar privilégios na cloud e, em alguns casos, transitar entre tenants em configurações multi-tenant para alcançar seus objetivos.
As cadeias típicas de ataque envolvem o abuso do acesso inicial para escalar privilégios a um domain administrator, seguido por movimentação lateral on-premises e etapas de reconnaissance que permitem aos atacantes invadir o ambiente cloud alvo, iniciando assim uma sequência multipartida envolvendo persistence, privilege escalation, data exfiltration, encryption e extortion.
O acesso inicial, segundo a Microsoft, é obtido por meio de intrusões facilitadas por access brokers como Storm-0249 e Storm-0900, que utilizam credenciais roubadas e comprometidas para login no sistema alvo, ou explorando diversas vulnerabilidades conhecidas de remote code execution em servidores públicos sem patch.
Em uma campanha recente contra uma grande empresa não identificada com diversas subsidiárias, o Storm-0501 realizou reconnaissance antes de se mover lateralmente pela rede usando Evil-WinRM.
Os atacantes também executaram um DCSync Attack para extrair credenciais do Active Directory simulando o comportamento de um domain controller.
“Aproveitando seu ponto de apoio no ambiente Active Directory, eles transitaram entre domínios do Active Directory e eventualmente se moveram lateralmente para comprometer um segundo servidor Entra Connect associado a um tenant Entra ID diferente e domínio Active Directory distinto”, relatou a Microsoft.
O ator de ameaça extraiu a Directory Synchronization Account para repetir o processo de reconnaissance, desta vez visando identidades e recursos no segundo tenant.
Esses esforços permitiram ao Storm-0501 identificar uma identidade sincronizada não humana com a função Global Admin no Microsoft Entra ID desse tenant, sem as proteções de multi-factor authentication (MFA).
Isso abriu caminho para que os invasores resetassem a senha do usuário on-premises, que foi sincronizada para a identidade cloud do usuário usando o serviço Entra Connect Sync.
Com a conta Global Admin comprometida, os invasores digitais acessaram o Azure Portal, registrando um tenant Entra ID próprio do ator de ameaça como um domínio federado confiável para criar uma backdoor.
Em seguida, elevaram seu acesso a recursos críticos do Azure, preparando o ambiente para exfiltração de dados e extorsão.
“Após completar a fase de exfiltração, o Storm-0501 iniciou a exclusão em massa dos recursos do Azure contendo os dados da organização vítima, impedindo que a vítima tomasse ações de remediação e mitigação restaurando os dados,” explicou a Microsoft.
Depois de exfiltrar e destruir com sucesso os dados dentro do ambiente Azure, o ator de ameaça iniciou a fase de extorsão, contatando as vítimas via Microsoft Teams usando um dos usuários previamente comprometidos, exigindo o pagamento do resgate.
A Microsoft afirmou ter implementado uma mudança no Microsoft Entra ID que impede que atores de ameaça abusem das Directory Synchronization Accounts para escalar privilégios.
Além disso, lançou atualizações para o Microsoft Entra Connect (versão 2.5.3.0) para suportar Modern Authentication, permitindo aos clientes configurar autenticação baseada em aplicações para segurança reforçada.
“Também é importante habilitar o Trusted Platform Module (TPM) no servidor Entra Connect Sync para armazenar com segurança credenciais sensíveis e chaves criptográficas, mitigando as técnicas de extração de credenciais do Storm-0501,” acrescentou a gigante da tecnologia.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...