Microsoft identifica Storm-0501 como grande ameaça em ataques de ransomware em nuvem híbrida.
O agente de ameaças conhecido como Storm-0501 tem como alvo os setores governamental, de manufatura, de transporte e de segurança pública nos EUA para realizar ataques de ransomware.
A campanha de ataque em vários estágios foi projetada para comprometer ambientes de nuvem híbrida e realizar movimentos laterais do ambiente local para o ambiente de nuvem, resultando em exfiltração de dados, roubo de credenciais, adulteração, acesso persistente por backdoor e implantação de ransomware, disse a Microsoft.
“O Storm-0501 é um grupo cibercriminoso com motivação financeira que usa ferramentas de código aberto e de commodities para conduzir operações de ransomware”, de acordo com a equipe de inteligência de ameaças da gigante da tecnologia.
Ativo desde 2021, o agente da ameaça tem um histórico de atacar entidades educacionais com o ransomware Sabbath (54bb47h) antes de evoluir para um afiliado de ransomware como serviço ( RaaS ), entregando várias cargas de ransomware ao longo dos anos, incluindo Hive, BlackCat (ALPHV), Hunters International, LockBit e ransomware Embargo.
Um aspecto notável dos ataques do Storm-0501 é o uso de credenciais fracas e contas com privilégios excessivos para migrar de organizações locais para infraestrutura de nuvem.
Outros métodos de acesso inicial incluem usar um ponto de apoio já estabelecido por corretores de acesso como Storm-0249 e Storm-0900, ou explorar várias vulnerabilidades conhecidas de execução remota de código em servidores não corrigidos voltados para a Internet, como Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion 2016.
O acesso oferecido por qualquer uma das abordagens mencionadas acima abre caminho para operações de descoberta extensivas para determinar ativos de alto valor, reunir informações de domínio e executar reconhecimento do Active Directory. Isso é seguido pela implantação de ferramentas de monitoramento e gerenciamento remoto (RMMs) como AnyDesk para manter a persistência.
“O agente da ameaça aproveitou os privilégios de administrador nos dispositivos locais que comprometeu durante o acesso inicial e tentou obter acesso a mais contas na rede por meio de vários métodos”, disse a Microsoft.
“O agente da ameaça utilizou principalmente o módulo SecretsDump da Impacket, que extrai credenciais pela rede, e o utilizou em um grande número de dispositivos para obter credenciais.”
As credenciais comprometidas são então usadas para acessar ainda mais dispositivos e extrair credenciais adicionais, com o agente da ameaça acessando simultaneamente arquivos confidenciais para extrair segredos do KeePass e conduzindo ataques de força bruta para obter credenciais para contas específicas.
A Microsoft disse que detectou o Storm-0501 empregando o Cobalt Strike para se mover lateralmente pela rede usando as credenciais comprometidas e enviar comandos subsequentes. A exfiltração de dados do ambiente local é realizada usando o Rclone para transferir os dados para o serviço de armazenamento em nuvem pública MegaSync.
O agente de ameaças também foi observado criando acesso persistente por backdoor ao ambiente de nuvem e implantando ransomware no local, tornando-se o mais recente agente de ameaças a ter como alvo configurações de nuvem híbrida depois do Octo Tempest e do Manatee Tempest.
“O agente da ameaça usou as credenciais, especificamente o Microsoft Entra ID (antigo Azure AD), que foram roubadas no início do ataque para se mover lateralmente do ambiente local para o ambiente de nuvem e estabelecer acesso persistente à rede alvo por meio de um backdoor”, disse Redmond.
Diz-se que a mudança para a nuvem é realizada por meio de uma conta de usuário comprometida do Microsoft Entra Connect Sync ou por meio do sequestro de sessão na nuvem de uma conta de usuário local que tem uma conta de administrador respectiva na nuvem com autenticação multifator (MFA) desabilitada.
O ataque culmina com a implantação do ransomware Embargo na organização da vítima após obter controle suficiente sobre a rede, exfiltrar arquivos de interesse e movimento lateral para a nuvem. Embargo é um ransomware baseado em Rust descoberto pela primeira vez em maio de 2024.
“Operando sob o modelo RaaS, o grupo de ransomware por trás do Embargo permite que afiliados como o Storm-0501 usem sua plataforma para lançar ataques em troca de uma parte do resgate”, disse a Microsoft.
“Os afiliados do Embargo empregam táticas de dupla extorsão, onde primeiro criptografam os arquivos da vítima e ameaçam vazar dados confidenciais roubados, a menos que um resgate seja pago.”
A divulgação ocorre no momento em que o grupo de ransomware DragonForce tem como alvo empresas nos setores de manufatura, imobiliário e transporte usando uma variante do construtor LockBit3.0 vazado e uma versão modificada do Conti .
Os ataques são caracterizados pelo uso do backdoor SystemBC para persistência, Mimikatz e Cobalt Strike para coleta de credenciais e Cobalt Strike para movimentação lateral. Os EUA respondem por mais de 50% do total de vítimas, seguidos pelo Reino Unido e Austrália.
“O grupo emprega táticas de extorsão dupla, criptografando dados e ameaçando vazamentos, a menos que um resgate seja pago”, disse o Group-IB, sediado em Cingapura . “O programa de afiliados, lançado em 26 de junho de 2024, oferece 80% do resgate aos afiliados, junto com ferramentas para gerenciamento e automação de ataques.”
Fonte: thehackernews.com
