Storm-0501: Yeni Nesil Siber Tehdit
Son yıllarda, siber tehdit aktörleri arasında dikkat çeken bir değişim gözlemleniyor. Microsoft tarafından bildirilen bir rapor, Storm-0501 adlı tehdit aktörünün operasyonlarının ransomware (fidye yazılımı) kullanımından uzaklaşarak bulut tabanlı şifreleme, veri hırsızlığı ve şantaj yöntemlerine odaklandığını ortaya koyuyor. Bu değişim, siber güvenlik alanında ciddi riski artırıyor ve organizasyonları daha savunmasız hale getiriyor.
Storm-0501‘in operasyonları, 2021 yılından bu yana birçok kuruluşa saldırılar gerçekleştirerek görevini sürdürmektedir. Önceleri Sabbath ransomware’ını kullanarak çeşitli kurumlara saldırı düzenleyen bu tehdit aktörü, zamanla birçok ransomware-as-a-service (RaaS) platformuna katıldı. Aktör, Hive, BlackCat (ALPHV), Hunters International, LockBit ve en son Embargo ransomware gibi kaynakları kullanarak saldırılarını sürdürdü.
Bulut Tabanlı Fidye Yazılımlarının Yükselişi
Storm-0501‘in yeni saldırı yöntemleri, tamamen bulut tabanlı bir sistem üzerinde gerçekleştirilmektedir. Microsoft’un verdiği bilgilere göre, tehdit aktörleri Active Directory ve Entra ID kiracılarını hedef alarak, Microsoft Defender sistemlerindeki açıkları istismar etmektedir.
Saldırganlar, çalınan Directory Synchronization Accounts (DSA) kullanarak kullanıcıları, roller ve Azure kaynaklarını listelemekte ve bu bilgilerle bir Global Administrator hesabını bulup, çok faktörlü kimlik doğrulaması (MFA) eksikliği olan bir hesabın şifresini sıfırlayarak tamamen yönetim kontrolü elde etmeyi başarmaktadırlar.
Bu aşamada, saldırganlar kontrolü ele geçirmek için zararlı federasyon alanları ekleyerek, kurbanın ağındaki neredeyse her kullanıcıyı taklit edebilmekte ve MFA korumalarından kaçabilmektedirler. Microsoft, bu tehdit aktörlerinin erişimlerini daha da artırarak, Microsoft.Authorization/elevateAccess/action‘ı suiistimal ederek, kendilerine Owner rolleri atadıklarını belirtmektedir.
Saldırı Zinciri ve Sonuçları
Bulut ortamına hakim olduktan sonra, Storm-0501 savunmaları devre dışı bırakmakta ve Azure Storage hesaplarındaki hassas verileri çalmaktadır. Saldırganlar, kurbanın veri kurtarma işlemlerini engellemek amacıyla, depolama anlık görüntüleri, geri yükleme noktaları, Recovery Services vaults ve depolama hesaplarını yok etmeye çalışmaktadırlar.
Kurtarma hizmetlerinden veri silme işlemi başarısız olduğunda, yeni Key Vaults ve müşteri tarafından yönetilen anahtarlar oluşturarak bulut tabanlı şifreleme uygulamakta, verileri yeni anahtarlarla şifreleyip, şirketin bu verilere erişimini engellemektedirler.
Veri çalma ve yedekleri yok etme işlemlerinin ardından, Storm-0501 şantaj aşamasına geçerek, kurbanlarla Microsoft Teams aracılığıyla iletişime geçerek fidye taleplerini iletmekte ve kurbanları finansal olarak zorlamaktadır.
Korunma Yöntemleri ve Önlemler
Microsoft’un raporu, bu tehdit aktörünün kullandığı taktikleri tespit etmek için koruma önerileri, Microsoft Defender XDR tespitleri ve avcı sorguları içermektedir. Bu bağlamda, ransomware şifreleyicilerinin giderek daha fazla tespit edilmesiyle, diğer tehdit aktörlerinin bulut tabanlı veri hırsızlığı ve şifreleme yöntemlerine yönelmesi gibi bir eğilim söz konusu olabilir.
Ayrıca, bulut tabanlı sistemler içinde iş sürekliliği ve veri kurtarma planlarının oluşturulması da önemlidir. Kurumlar, bulut sistemlerinin potansiyel risklerini anlamalı ve bu tür siber tehditlere karşı kendilerini koruma altına almalıdırlar.
Storm-0501 ve benzeri tehdit aktörleri özellikle bulut tabanlı sistemlerin yaygınlaşması ile birlikte daha öldürücü hale gelmektedir. Bu yüzden, sürekli güncellenen güvenlik çözümleri ve eğitimlerle siber risklerin en aza indirilmesi mümkün olacaktır.
