Microsoft advierte que el atacante de ransomware Storm-0501 ha cambiado recientemente de táctica, apuntando a entornos de nube híbrida y ampliando su estrategia para comprometer todos los activos de sus víctimas.
Este actor surgió por primera vez como afiliado de ransomware en la campaña de ransomware Sabbath en 2021. Más tarde, las bandas Hive, BlackCat, LockBit y Hunters International comenzaron a implementar malware de cifrado de archivos. Recientemente, se ha observado la implementación del ransomware Embargo.
Los ataques recientes de Storm-0501 tuvieron como objetivo hospitales, gobiernos, manufacturas, transporte y agencias de aplicación de la ley en los Estados Unidos.
Flujo de ataque Storm-0501
Los atacantes aprovechan las credenciales débiles y aprovechan las cuentas privilegiadas para acceder a entornos de nube con el objetivo de robar datos y ejecutar cargas útiles de ransomware.
Microsoft explica que Storm-0501 obtiene acceso inicial a las redes utilizando credenciales compradas o robadas o explotando vulnerabilidades conocidas.
Los fallos utilizados en ataques recientes incluyen CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler) y posiblemente CVE-2023-29300 o CVE-2023-38203 (ColdFusion 2016).
Los atacantes pueden usar marcos como Impacket y Cobalt Strike para moverse lateralmente, robar datos a través de binarios Rclone personalizados renombrados para imitar las herramientas de Windows y deshabilitar agentes de seguridad con cmdlets de PowerShell Masu.
Storm-0501 aprovecha las credenciales robadas de Microsoft Entra ID (anteriormente Azure AD) para pasar de entornos locales a entornos de nube, comprometer cuentas de sincronización y secuestrar y persistir sesiones.
Las cuentas de Microsoft Entra Connect Sync son importantes para sincronizar datos entre Active Directory (AD) local y Microsoft Entra ID basado en la nube y, por lo general, permiten una amplia gama de acciones confidenciales.
Si un atacante tiene las credenciales de la cuenta de sincronización de directorios, puede utilizar herramientas especializadas como AADInternals para cambiar la contraseña de la nube y evitar protecciones adicionales.
Si un administrador de dominio u otra cuenta local con altos privilegios también está presente en el entorno de la nube y sin las protecciones adecuadas (como la autenticación multifactor), Storm-0501 podría usar las mismas credenciales para acceder a la nube nuevamente.
Después de obtener acceso a la infraestructura de la nube, el actor de amenazas coloca una puerta trasera persistente mediante la creación de un nuevo dominio federado dentro del inquilino de Microsoft Entra. Esto permite a un atacante autenticarse como un usuario cuya propiedad “Immutableid” se conoce o está configurada.
En el paso final, los atacantes implementan el ransomware Embargo en los entornos locales y en la nube de la víctima, o mantienen el acceso de puerta trasera para más adelante.
“Una vez que los atacantes tuvieron suficiente control sobre la red, extrajeron con éxito archivos confidenciales y se trasladaron lateralmente al entorno de la nube, implementaron el ransomware Embargo en toda la organización”.
“Hemos observado que los atacantes no siempre dependen de la distribución de ransomware, sino que en algunos casos simplemente mantienen el acceso por puerta trasera a las redes”, dijo Microsoft.
Las cargas útiles de ransomware se implementan a través de una tarea programada o un objeto de política de grupo (GPO) utilizando una cuenta comprometida, como un administrador de dominio, para cifrar archivos en los dispositivos de una organización.
Cadena de ataque Storm-0501
Fuente: Microsoft
Prohibición de la actividad de ransomware
El grupo de amenazas Embargo utiliza malware basado en Rust para realizar operaciones de ransomware como servicio (RaaS). Las operaciones de RaaS aceptan afiliados que se infiltran en las empresas, implementan cargas útiles y comparten una parte de las ganancias con los desarrolladores.
En agosto de 2024, un afiliado del ransomware Embargo atacó la American Radio Relay League (ARRL) y recibió 1 millón de dólares a cambio de una herramienta de descifrado que funcionara.
A principios de este año, en mayo, una filial de Embargo irrumpió en FirstMac Limited, una de las empresas de gestión de inversiones y préstamos hipotecarios más grandes de Australia, y recopiló 500 GB de datos robados cuando se acercaba la fecha límite para las negociaciones de acuerdo.
https://www.bleepingcomputer.com/news/security/embargo-ransomware-escalates-attacks-to-cloud-environments/
