El actor de amenazas conocido como Storm-0501 se ha dirigido a los sectores gubernamental, manufacturero, de transporte y de aplicación de la ley en los EE. UU. para realizar ataques de ransomware.
La campaña de ataque de múltiples etapas está diseñada para comprometer los entornos de nube híbrida y realizar un movimiento lateral desde el entorno local al entorno de la nube, lo que en última instancia resulta en exfiltración de datos, robo de credenciales, manipulación, acceso persistente por puerta trasera e implementación de ransomware, dijo Microsoft.
“Storm-0501 es un grupo cibercriminal con motivación financiera que utiliza herramientas básicas y de código abierto para realizar operaciones de ransomware”. de acuerdo a al equipo de inteligencia de amenazas del gigante tecnológico.
Activo desde 2021, el actor de amenazas tiene un historial de apuntar a entidades educativas con el ransomware Sabbath (54bb47h) antes de evolucionar a un ransomware como servicio (RaaS) afiliado que ha entregado varias cargas útiles de ransomware a lo largo de los años, incluidos Hive, BlackCat (ALPHV), Hunters International, LockBit y Embargo ransomware.
Un aspecto notable de los ataques de Storm-0501 es el uso de credenciales débiles y cuentas con demasiados privilegios para pasar de organizaciones locales a infraestructura en la nube.
Otros métodos de acceso inicial incluyen el uso de un punto de apoyo ya establecido por agentes de acceso como Storm-0249 y Storm-0900, o la explotación de varias vulnerabilidades conocidas de ejecución remota de código en servidores con acceso a Internet sin parches, como Zoho ManageEngine, Citrix NetScaler y Adobe ColdFusion 2016.
El acceso proporcionado por cualquiera de los enfoques antes mencionados allana el camino para operaciones de descubrimiento extensas para determinar activos de alto valor, recopilar información de dominio y realizar reconocimiento de Active Directory. A esto le sigue la implementación de herramientas de administración y monitoreo remoto (RMM) como AnyDesk para mantener la persistencia.
“El actor de la amenaza aprovechó los privilegios de administrador en los dispositivos locales que comprometió durante el acceso inicial e intentó obtener acceso a más cuentas dentro de la red a través de varios métodos”, dijo Microsoft.
“El actor de amenazas utilizó principalmente el módulo SecretsDump de Impacket, que extrae credenciales a través de la red y lo aprovechó en una gran cantidad de dispositivos para obtener credenciales”.
Luego, las credenciales comprometidas se utilizan para acceder a aún más dispositivos y extraer credenciales adicionales, y el actor de la amenaza accede simultáneamente a archivos confidenciales para extraer secretos de KeePass y realizar ataques de fuerza bruta para obtener credenciales para cuentas específicas.
Microsoft dijo que detectó que Storm-0501 empleaba Cobalt Strike para moverse lateralmente a través de la red utilizando las credenciales comprometidas y enviar comandos de seguimiento. La exfiltración de datos del entorno local se logra mediante el uso de Rclone para transferir los datos al servicio de almacenamiento en la nube pública MegaSync.
También se ha observado que el actor de amenazas crea acceso persistente por puerta trasera al entorno de la nube e implementa ransomware en las instalaciones, lo que lo convierte en el actor de amenazas más reciente en apuntar a configuraciones de nube híbrida después de Octo Tempest y Manatee Tempest.
“El actor de la amenaza utilizó las credenciales, específicamente Microsoft Entra ID (anteriormente Azure AD), que fueron robadas anteriormente en el ataque para moverse lateralmente desde el entorno local al entorno de la nube y establecer un acceso persistente a la red objetivo a través de una puerta trasera. ” dijo Redmond.
Se dice que el paso a la nube se logra a través de una cuenta de usuario de Microsoft Entra Connect Sync comprometida o mediante el secuestro de sesión en la nube de una cuenta de usuario local que tiene una cuenta de administrador respectiva en la nube con la autenticación multifactor (MFA) deshabilitada. .
El ataque culmina con la implementación del ransomware Embargo en toda la organización víctima al obtener suficiente control sobre la red, filtrar archivos de interés y moverlos lateralmente a la nube. Embargo es un ransomware basado en Rust descubierto por primera vez en mayo de 2024.
“Operando bajo el modelo RaaS, el grupo de ransomware detrás de Embargo permite a afiliados como Storm-0501 usar su plataforma para lanzar ataques a cambio de una parte del rescate”, dijo Microsoft.
“Los afiliados de Embargo emplean tácticas de doble extorsión, donde primero cifran los archivos de la víctima y amenazan con filtrar datos confidenciales robados a menos que se pague un rescate”.
La divulgación se produce cuando el grupo de ransomware DragonForce se ha dirigido a empresas de los sectores de fabricación, bienes raíces y transporte utilizando una variante del constructor LockBit3.0 filtrado y una versión modificada de Conti.
Los ataques se caracterizan por el uso de la puerta trasera SystemBC para la persistencia, Mimikatz y Cobalt Strike para la recolección de credenciales y Cobalt Strike para el movimiento lateral. Estados Unidos representa más del 50% del total de víctimas, seguido por el Reino Unido y Australia.
“El grupo emplea tácticas de doble extorsión, cifrando datos y amenazando con filtraciones a menos que se pague un rescate”, Group-IB, con sede en Singapur. dicho. “El programa de afiliados, lanzado el 26 de junio de 2024, ofrece el 80% del rescate a los afiliados, junto con herramientas para la gestión y automatización de ataques”.