El actor de amenaza de motivación financiera conocido como Storm-0501 se ha observado que refina sus tácticas para realizar la exfiltración de datos y los ataques de perturbación dirigidos a entornos de nubes.
“A diferencia del ransomware tradicional circunscrito, donde el actor de amenaza generalmente despliega malware para resumir archivos críticos en los puntos finales internamente de la red comprometida y luego negocia una secreto de descifrado, el ransomware basado en la nimbo presenta un cambio fundamental”, dijo el equipo de inteligencia de amenazas de Microsoft en un documentación compartido con The Hacker News.
“Servirse las capacidades nativas de la nimbo, Storm-0501 exfiltra rápidamente grandes volúmenes de datos, destruye datos y copias de seguridad internamente del entorno de víctimas y exige el rescate, todo sin obedecer de la implementación tradicional de malware”.
Microsoft documentó por primera vez Storm-0501 hace casi un año, detallando sus ataques híbridos de ransomware en la nimbo dirigidos al gobierno, la fabricación, el transporte y los sectores de aplicación de la ley en los Estados Unidos, con los actores de amenaza que giran desde locales hasta la nimbo para la exfiltración de datos posterior, el robo de credenciales y el despliegue de la reducción de la red.
Evaluado como activo desde 2021, el agrupación de piratería se ha convertido en un afiliado de ransomware como servicio (RAAS) que ofrece varias cargas aperos de ransomware a lo abundante de los primaveras, como Sabbath, Hive, Blackcat (AlphV), Hunters International, Lockbit y Secuestro.
“Storm-0501 ha seguido demostrando competencia en el movimiento entre los entornos locales y en la nimbo, ejemplificando cómo los actores de amenaza se adaptan a medida que crece la apadrinamiento de nubes híbridas”, dijo la compañía. “Castan dispositivos no administrados y brechas de seguridad en entornos de nubes híbridos para esquivar la detección y aumentar los privilegios de la nimbo y, en algunos casos, atravesar a los inquilinos en configuraciones de múltiples inquilinos para alcanzar sus objetivos”.
Los motos de ataque típicos involucran al actor de amenaza que abusa de su ataque original para alcanzar la ascensión de privilegios a un administrador de dominio, seguido de un movimiento anexo en las instalaciones y pasos de examen que permiten a los atacantes violar el entorno de la nimbo del objetivo, iniciando así una secuencia de la etapa múltiple que involucra persistencia, persistencia de privilegio, exfiltración de datos, encriones y terminación y terminación.
El ataque original, por Microsoft, se logra a través de intrusiones facilitadas por corredores de ataque como Storm-0249 y Storm-0900, aprovechando las credenciales robadas y comprometidas para iniciar sesión en el sistema de destino, o explotar varias vulnerabilidades de ejecución de código remoto conocido en servidores sin marcar públicos.
En una campaña flamante dirigida a una gran empresa sin nombre con múltiples subsidiarias, se dice que Storm-0501 realizó un examen antiguamente de moverse lateralmente a través de la red utilizando Evil-WinRM. Los atacantes igualmente llevaron a extremo lo que se pira un ataque DCSYNC para extraer credenciales de Active Directory simulando el comportamiento de un regulador de dominio.
“Aprovechando su punto de apoyo en el entorno de Active Directory, atravesaron entre los dominios de Active Directory y finalmente se movieron lateralmente para comprometer un segundo servidor de Connect ENTRA asociado con un inquilino ID diferente y el dominio de Active Directory”, dijo Microsoft.

“El actor de amenaza extrajo la cuenta de sincronización del directorio para repetir el proceso de examen, esta vez dirigiendo identidades y bienes en el segundo inquilino”.
Estos esfuerzos finalmente permitieron a STORM-0501 identificar una identidad sincronizada no humana con un papel de oficina universal en Microsoft Entra ID en ese inquilino, y careciendo de protecciones de autenticación multifactor (MFA). Luego, esto abrió la puerta a un tablado en el que los atacantes restablecen la contraseña loca del adjudicatario, lo que hace que se sincronice con la identidad en la nimbo de ese adjudicatario utilizando el servicio de sincronización Entra Connect.
Armados con la cuenta de oficina universal comprometida, se ha opuesto que los intrusos digitales acceden al portal de Azure, registrando a un inquilino de ID de Entra de amenazas como un dominio federado de confianza para crear una puerta trasera, y luego elevar su ataque a bienes de Azure críticos, antiguamente de preparar el tablado para la exfiltración de datos y la perturbación.
“A posteriori de completar la etapa de exfiltración, Storm-0501 inició la matanza masiva de los bienes de Azure que contienen los datos de la ordenamiento de víctimas, evitando que la víctima tome acciones de remediación y mitigación restaurando los datos”, dijo Microsoft.
“A posteriori de exfiltrar y destruir con éxito los datos internamente del entorno de Azure, el actor de amenaza inició la etapa de perturbación, donde contactaron a las víctimas usando equipos de Microsoft utilizando uno de los usuarios previamente comprometidos, exigiendo un rescate”.
La compañía dijo que ha promulgado un cambio en Microsoft Entra ID que evita que los actores de amenaza abusen de las cuentas de sincronización de directorio para aumentar los privilegios. Incluso ha publicado actualizaciones a Microsoft Entra Connect (lectura 2.5.3.0) para aposentar la autenticación moderna para permitir a los clientes configurar la autenticación basada en aplicaciones para una seguridad mejorada.
“Incluso es importante habilitar el módulo de plataforma confiable (TPM) en el servidor de sincronización Entra Connect para acumular de forma segura credenciales confidenciales y claves criptográficas, mitigando las técnicas de procedencia de credenciales de Storm-0501”, agregó el gigantesco tecnológico.