L’acteur malveillant connu sous le nom de Storm-0501 a ciblé les secteurs du gouvernement, de l’industrie manufacturière, des transports et de l’application de la loi aux États-Unis pour lancer des attaques de ransomware.
La campagne d’attaque en plusieurs étapes est conçue pour compromettre les environnements cloud hybrides et effectuer un mouvement latéral de l’environnement sur site vers l’environnement cloud, entraînant finalement l’exfiltration de données, le vol d’informations d’identification, la falsification, l’accès persistant par porte dérobée et le déploiement de ransomwares, a déclaré Microsoft.
« Storm-0501 est un groupe cybercriminel motivé par des raisons financières qui utilise des outils de base et open source pour mener des opérations de ransomware », selon à l’équipe de renseignement sur les menaces du géant de la technologie.
Actif depuis 2021, l’acteur malveillant a l’habitude de cibler les entités éducatives avec le ransomware Sabbath (54bb47h) avant d’évoluer vers un ransomware-as-a-service (RaaS) affilié fournissant diverses charges utiles de ransomwares au fil des ans, notamment les ransomwares Hive, BlackCat (ALPHV), Hunters International, LockBit et Embargo.
Un aspect notable des attaques de Storm-0501 est l’utilisation d’informations d’identification faibles et de comptes trop privilégiés pour passer des organisations sur site à l’infrastructure cloud.
D’autres méthodes d’accès initial incluent l’utilisation d’une base déjà établie par des courtiers d’accès comme Storm-0249 et Storm-0900, ou l’exploitation de diverses vulnérabilités connues d’exécution de code à distance dans des serveurs Internet non corrigés tels que Zoho ManageEngine, Citrix NetScaler et Adobe ColdFusion 2016.
L’accès offert par l’une des approches susmentionnées ouvre la voie à des opérations de découverte approfondies pour déterminer les actifs de grande valeur, collecter des informations sur le domaine et effectuer une reconnaissance Active Directory. Ceci est suivi par le déploiement d’outils de surveillance et de gestion à distance (RMM) comme AnyDesk pour maintenir la persistance.
« L’acteur malveillant a profité des privilèges d’administrateur sur les appareils locaux qu’il a compromis lors de l’accès initial et a tenté d’accéder à davantage de comptes au sein du réseau par plusieurs méthodes », a déclaré Microsoft.
« L’acteur malveillant a principalement utilisé le module SecretsDump d’Impacket, qui extrait les informations d’identification sur le réseau, et l’a exploité sur un grand nombre d’appareils pour obtenir des informations d’identification. »
Les informations d’identification compromises sont ensuite utilisées pour accéder à encore plus d’appareils et extraire des informations d’identification supplémentaires, l’acteur malveillant accédant simultanément à des fichiers sensibles pour extraire les secrets KeePass et menant des attaques par force brute pour obtenir les informations d’identification de comptes spécifiques.
Microsoft a déclaré avoir détecté Storm-0501 utilisant Cobalt Strike pour se déplacer latéralement sur le réseau en utilisant les informations d’identification compromises et envoyer des commandes de suivi. L’exfiltration des données de l’environnement sur site est réalisée en utilisant Rclone pour transférer les données vers le service de stockage cloud public MegaSync.
L’acteur menaçant a également été observé en train de créer un accès persistant par porte dérobée à l’environnement cloud et de déployer des ransomwares sur site, ce qui en fait le dernier acteur menaçant à cibler les configurations cloud hybrides après Octo Tempest et Manatee Tempest.
« L’acteur malveillant a utilisé les informations d’identification, en particulier Microsoft Entra ID (anciennement Azure AD), qui ont été volées plus tôt dans l’attaque pour passer latéralement de l’environnement sur site à l’environnement cloud et établir un accès persistant au réseau cible via une porte dérobée. « , a déclaré Redmond.
Le pivotement vers le cloud serait accompli soit via un compte utilisateur Microsoft Entra Connect Sync compromis, soit via le détournement de session cloud d’un compte utilisateur sur site doté d’un compte administrateur respectif dans le cloud avec l’authentification multifacteur (MFA) désactivée. .
L’attaque culmine avec le déploiement du ransomware Embargo dans l’organisation victime après avoir obtenu un contrôle suffisant sur le réseau, exfiltré les fichiers d’intérêt et effectué un mouvement latéral vers le cloud. Embargo est un ransomware basé sur Rust découvert pour la première fois en mai 2024.
« Opérant selon le modèle RaaS, le groupe de ransomware derrière Embargo permet à des filiales comme Storm-0501 d’utiliser sa plateforme pour lancer des attaques en échange d’une part de la rançon », a déclaré Microsoft.
« Les affiliés d’Embargo emploient des tactiques de double extorsion, où ils cryptent d’abord les fichiers d’une victime et menacent de divulguer les données sensibles volées à moins qu’une rançon ne soit payée. »
La divulgation intervient alors que le groupe de ransomware DragonForce cible des entreprises des secteurs de la fabrication, de l’immobilier et des transports en utilisant une variante du constructeur LockBit3.0 divulgué et une version modifiée de Conti.
Les attaques se caractérisent par l’utilisation de la porte dérobée SystemBC pour la persistance, de Mimikatz et Cobalt Strike pour la récolte d’informations d’identification et de Cobalt Strike pour les mouvements latéraux. Les États-Unis représentent plus de 50 % du total des victimes, suivis par le Royaume-Uni et l’Australie.
« Le groupe utilise des tactiques de double extorsion, cryptant les données et menaçant de les divulguer à moins qu’une rançon ne soit payée », a déclaré Group-IB, dont le siège est à Singapour. dit. « Le programme d’affiliation, lancé le 26 juin 2024, offre 80 % de la rançon aux affiliés, ainsi que des outils de gestion et d’automatisation des attaques. »