Un atacante conocido como Storm-0501 lanzó un ataque de ransomware dirigido a los sectores del gobierno, la fabricación, el transporte y las fuerzas del orden de los EE. UU.
La campaña de ataque de varias etapas está diseñada para comprometer los entornos de nube híbrida y realizar un movimiento lateral desde las instalaciones a los entornos de nube, lo que en última instancia resulta en exfiltración de datos, robo de credenciales, manipulación y acceso persistente por puerta trasera, según Microsoft, que puede conducir a la implementación de ransomware.
Según el equipo de inteligencia de amenazas del gigante tecnológico, “Storm-0501 es un grupo de cibercrimen con motivación financiera que utiliza productos básicos y herramientas de código abierto para llevar a cabo operaciones de ransomware”.
El actor de amenazas, que ha estado activo desde 2021, tiene un historial de apuntar a instituciones educativas con el ransomware Sabbath (54bb47h) y desde entonces ha evolucionado hasta convertirse en afiliados de ransomware como servicio (RaaS), incluidos Hive, BlackCat (ALPHV). ha estado entregando varias cargas útiles de ransomware a lo largo de los años. , Hunters International, LockBit y Embargo ransomware.
Un aspecto notable del ataque Storm-0501 es el uso de credenciales débiles y cuentas con privilegios excesivos para migrar de organizaciones locales a infraestructura en la nube.
Otros métodos de acceso inicial incluyen el uso de puntos de apoyo ya establecidos por agentes de acceso como Storm-0249 y Storm-0900, y acceso a Internet sin parches como Zoho ManageEngine, Citrix NetScaler y Adobe ColdFusion 2016. Contiene métodos para explotar varias vulnerabilidades conocidas de ejecución remota de código en servidores conectados a .
El acceso proporcionado por cualquiera de los enfoques antes mencionados allana el camino para operaciones de descubrimiento extensas para identificar activos de alto valor, recopilar información de dominio y realizar reconocimiento de Active Directory. A esto le sigue la introducción de herramientas de administración y monitoreo remoto (RMM) como AnyDesk para mantener la persistencia.
“Los atacantes explotaron los privilegios de administrador del dispositivo local que habían comprometido durante el acceso inicial e intentaron obtener acceso a más cuentas dentro de la red de varias maneras”, dijo Microsoft.
“Los atacantes aprovecharon principalmente el módulo SecretsDump de Impacket, que extrae credenciales a través de la red y en una gran cantidad de dispositivos, para obtener credenciales”.
Las credenciales comprometidas se utilizaron luego para acceder a más dispositivos y extraer credenciales adicionales, mientras que el actor de amenazas accedía a archivos confidenciales para extraer secretos de KeePass y realizar ataques de fuerza bruta para obtener credenciales para una cuenta específica.
Microsoft dijo que detectó Storm-0501 utilizando Cobalt Strike para moverse lateralmente dentro de la red y enviar comandos posteriores utilizando credenciales comprometidas. La extracción de datos de su entorno local se logra utilizando Rclone para transferir datos al servicio de almacenamiento en la nube pública MegaSync.
También se ha observado que el actor de amenazas crea un acceso persistente de puerta trasera a entornos de nube e implementa ransomware en las instalaciones, lo que lo convierte en el último en apuntar a configuraciones de nube híbrida, después de que Octo Tempest y Manatee Tempest se hayan convertido en un actor de amenazas.
“Los atacantes utilizaron las credenciales robadas al principio del ataque, específicamente el Microsoft Entra ID (anteriormente Azure AD), para moverse lateralmente desde entornos locales a entornos de nube y acceder a las redes de destino a través de puertas traseras”, dijo Redmond.
La migración a la nube se logra a través de cuentas de usuario comprometidas de Microsoft Entra Connect Sync o mediante el secuestro de sesión en la nube de cuentas de usuario locales con sus respectivas cuentas de administrador en la nube con la autenticación multifactor (MFA) deshabilitada. Se dice que se hará . .
El ataque culmina con la implementación del ransomware Embargo en toda la organización víctima, la extracción y el movimiento lateral de los archivos deseados a la nube una vez que se obtiene suficiente control sobre la red. Embargo es un ransomware basado en Rust descubierto por primera vez en mayo de 2024.
“El grupo de ransomware detrás de Embargo, que opera bajo un modelo RaaS, permite a afiliados como Storm-0501 usar su plataforma para lanzar ataques a cambio de una parte del rescate”, dijo Microsoft.
“La filial embargada emplea una doble táctica de extorsión: primero cifra los archivos de la víctima y luego amenaza con filtrar los datos confidenciales robados a menos que se pague un rescate”.
Esta divulgación se produce cuando el grupo de ransomware DragonForce se dirige a empresas de las industrias manufacturera, inmobiliaria y de transporte utilizando variantes del constructor LockBit3.0 filtradas y modificaciones de Conti Ta.
Este ataque presenta la puerta trasera SystemBC para persistencia, Mimikatz y Cobalt Strike para recolección de credenciales y Cobalt Strike para movimiento lateral. Estados Unidos representa más del 50% de todas las víctimas, seguido por el Reino Unido y Australia.
“El grupo emplea tácticas de extorsión duales, incluido el cifrado de datos y la amenaza con filtrar información a menos que se pague un rescate”, dijo el Grupo IB, con sede en Singapur. “El programa de afiliados, lanzado el 26 de junio de 2024, proporcionará el 80% del dinero del rescate a los afiliados, junto con herramientas para la gestión y automatización de ataques”.
¿Te pareció interesante este artículo? Síguenos Gorjeo ○ Puedes leer más contenido exclusivo nuestro en LinkedIn.
https://thehackernews.com/2024/09/microsoft-identifies-storm-0501-as.html
