{"id":1379139,"date":"2024-09-27T21:21:32","date_gmt":"2024-09-27T21:21:32","guid":{"rendered":"https:\/\/teknomers.com\/es\/microsoft-identifica-storm-0501-como-la-principal-amenaza-en-los-ataques-de-ransomware-a-la-nube-hibrida\/"},"modified":"2024-09-27T21:21:37","modified_gmt":"2024-09-27T21:21:37","slug":"microsoft-identifica-storm-0501-como-la-principal-amenaza-en-los-ataques-de-ransomware-a-la-nube-hibrida","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/microsoft-identifica-storm-0501-como-la-principal-amenaza-en-los-ataques-de-ransomware-a-la-nube-hibrida\/","title":{"rendered":"Microsoft identifica Storm-0501 como la principal amenaza en los ataques de ransomware a la nube h\u00edbrida"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Microsoft-identifica-Storm-0501-como-la-principal-amenaza-en-los-ataques.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>El actor de amenazas conocido como Storm-0501 se ha dirigido a los sectores gubernamental, manufacturero, de transporte y de aplicaci\u00f3n de la ley en los EE. UU. para realizar ataques de ransomware.<\/p>\n<p>La campa\u00f1a de ataque de m\u00faltiples etapas est\u00e1 dise\u00f1ada para comprometer los entornos de nube h\u00edbrida y realizar un movimiento lateral desde el entorno local al entorno de la nube, lo que en \u00faltima instancia resulta en exfiltraci\u00f3n de datos, robo de credenciales, manipulaci\u00f3n, acceso persistente por puerta trasera e implementaci\u00f3n de ransomware, dijo Microsoft.<\/p>\n<p>&#8220;Storm-0501 es un grupo cibercriminal con motivaci\u00f3n financiera que utiliza herramientas b\u00e1sicas y de c\u00f3digo abierto para realizar operaciones de ransomware&#8221;. <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/09\/26\/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments\/\" target=\"_blank\">de acuerdo a<\/a> al equipo de inteligencia de amenazas del gigante tecnol\u00f3gico.<\/p>\n<p>Activo desde 2021, el actor de amenazas tiene un historial de apuntar a entidades educativas con el ransomware Sabbath (54bb47h) antes de evolucionar a un ransomware como servicio (<a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/businessinsights\/understanding-the-roles-in-the-ransomware-as-a-service-ecosystem-whos-targeting-your-data-security-gaps\/\" target=\"_blank\">RaaS<\/a>) afiliado que ha entregado varias cargas \u00fatiles de ransomware a lo largo de los a\u00f1os, incluidos Hive, BlackCat (ALPHV), Hunters International, LockBit y Embargo ransomware.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1727076560_257_El-nuevo-malware-PondRAT-oculto-en-paquetes-Python-ataca-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Un aspecto notable de los ataques de Storm-0501 es el uso de credenciales d\u00e9biles y cuentas con demasiados privilegios para pasar de organizaciones locales a infraestructura en la nube.<\/p>\n<p>Otros m\u00e9todos de acceso inicial incluyen el uso de un punto de apoyo ya establecido por agentes de acceso como Storm-0249 y Storm-0900, o la explotaci\u00f3n de varias vulnerabilidades conocidas de ejecuci\u00f3n remota de c\u00f3digo en servidores con acceso a Internet sin parches, como Zoho ManageEngine, Citrix NetScaler y Adobe ColdFusion 2016.<\/p>\n<p>El acceso proporcionado por cualquiera de los enfoques antes mencionados allana el camino para operaciones de descubrimiento extensas para determinar activos de alto valor, recopilar informaci\u00f3n de dominio y realizar reconocimiento de Active Directory. A esto le sigue la implementaci\u00f3n de herramientas de administraci\u00f3n y monitoreo remoto (RMM) como AnyDesk para mantener la persistencia.<\/p>\n<p>&#8220;El actor de la amenaza aprovech\u00f3 los privilegios de administrador en los dispositivos locales que comprometi\u00f3 durante el acceso inicial e intent\u00f3 obtener acceso a m\u00e1s cuentas dentro de la red a trav\u00e9s de varios m\u00e9todos&#8221;, dijo Microsoft.<\/p>\n<p>&#8220;El actor de amenazas utiliz\u00f3 principalmente el m\u00f3dulo SecretsDump de Impacket, que extrae credenciales a trav\u00e9s de la red y lo aprovech\u00f3 en una gran cantidad de dispositivos para obtener credenciales&#8221;.<\/p>\n<p>Luego, las credenciales comprometidas se utilizan para acceder a a\u00fan m\u00e1s dispositivos y extraer credenciales adicionales, y el actor de la amenaza accede simult\u00e1neamente a archivos confidenciales para extraer secretos de KeePass y realizar ataques de fuerza bruta para obtener credenciales para cuentas espec\u00edficas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Microsoft-identifica-Storm-0501-como-la-principal-amenaza-en-los-ataques.gif\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Microsoft-identifica-Storm-0501-como-la-principal-amenaza-en-los-ataques.gif\" alt=\"Ataques de ransomware en la nube h\u00edbrida\" border=\"0\" data-original-height=\"1080\" data-original-width=\"1783\" title=\"Ataques de ransomware en la nube h\u00edbrida\"\/><\/a><\/div>\n<p>Microsoft dijo que detect\u00f3 que Storm-0501 empleaba Cobalt Strike para moverse lateralmente a trav\u00e9s de la red utilizando las credenciales comprometidas y enviar comandos de seguimiento. La exfiltraci\u00f3n de datos del entorno local se logra mediante el uso de Rclone para transferir los datos al servicio de almacenamiento en la nube p\u00fablica MegaSync. <\/p>\n<p>Tambi\u00e9n se ha observado que el actor de amenazas crea acceso persistente por puerta trasera al entorno de la nube e implementa ransomware en las instalaciones, lo que lo convierte en el actor de amenazas m\u00e1s reciente en apuntar a configuraciones de nube h\u00edbrida despu\u00e9s de Octo Tempest y Manatee Tempest.<\/p>\n<p>&#8220;El actor de la amenaza utiliz\u00f3 las credenciales, espec\u00edficamente Microsoft Entra ID (anteriormente Azure AD), que fueron robadas anteriormente en el ataque para moverse lateralmente desde el entorno local al entorno de la nube y establecer un acceso persistente a la red objetivo a trav\u00e9s de una puerta trasera. &#8221; dijo Redmond.<\/p>\n<p>Se dice que el paso a la nube se logra a trav\u00e9s de una cuenta de usuario de Microsoft Entra Connect Sync comprometida o mediante el secuestro de sesi\u00f3n en la nube de una cuenta de usuario local que tiene una cuenta de administrador respectiva en la nube con la autenticaci\u00f3n multifactor (MFA) deshabilitada. .<\/p>\n<p>El ataque culmina con la implementaci\u00f3n del ransomware Embargo en toda la organizaci\u00f3n v\u00edctima al obtener suficiente control sobre la red, filtrar archivos de inter\u00e9s y moverlos lateralmente a la nube. <a rel=\"nofollow noopener\" href=\"https:\/\/ransomwareattacks.halcyon.ai\/attacks\/embargo-ransomware-group-strikes-dme-delivers-in-cyber-attack\" target=\"_blank\">Embargo<\/a> es un ransomware basado en Rust descubierto por primera vez en mayo de 2024.<\/p>\n<p>&#8220;Operando bajo el modelo RaaS, el grupo de ransomware detr\u00e1s de Embargo permite a afiliados como Storm-0501 usar su plataforma para lanzar ataques a cambio de una parte del rescate&#8221;, dijo Microsoft.<\/p>\n<p>&#8220;Los afiliados de Embargo emplean t\u00e1cticas de doble extorsi\u00f3n, donde primero cifran los archivos de la v\u00edctima y amenazan con filtrar datos confidenciales robados a menos que se pague un rescate&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La divulgaci\u00f3n se produce cuando el grupo de ransomware DragonForce se ha dirigido a empresas de los sectores de fabricaci\u00f3n, bienes ra\u00edces y transporte utilizando una variante del constructor LockBit3.0 filtrado y una versi\u00f3n modificada de Conti.<\/p>\n<p>Los ataques se caracterizan por el uso de la puerta trasera SystemBC para la persistencia, Mimikatz y Cobalt Strike para la recolecci\u00f3n de credenciales y Cobalt Strike para el movimiento lateral. Estados Unidos representa m\u00e1s del 50% del total de v\u00edctimas, seguido por el Reino Unido y Australia.<\/p>\n<p>&#8220;El grupo emplea t\u00e1cticas de doble extorsi\u00f3n, cifrando datos y amenazando con filtraciones a menos que se pague un rescate&#8221;, Group-IB, con sede en Singapur. <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/dragonforce-ransomware\/\" target=\"_blank\">dicho<\/a>. &#8220;El programa de afiliados, lanzado el 26 de junio de 2024, ofrece el 80% del rescate a los afiliados, junto con herramientas para la gesti\u00f3n y automatizaci\u00f3n de ataques&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/microsoft-identifies-storm-0501-as.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El actor de amenazas conocido como Storm-0501 se ha dirigido a los sectores gubernamental, manufacturero, de transporte y<\/p>\n","protected":false},"author":1,"featured_media":1379140,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,382,2346,4661,440,4664,30910,21026,201033,36,7983,4654,201031,4659,4653,4655,10650,56,4883,246983,255454,246984,201032,255631,246982,4660],"class_list":["post-1379139","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-amenaza","tag-ataques","tag-ataques-ciberneticos","tag-como","tag-como-hackear","tag-hibrida","tag-identifica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-microsoft","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nube","tag-principal","tag-ransomware","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-storm0501","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1379139","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1379139"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1379139\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1379140"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1379139"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1379139"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1379139"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}