Los grupos de ransomware son organizaciones cibercriminales organizadas que implementan software malicioso para cifrar los datos de las víctimas y exigen un pago de rescate por la clave de descifrado.
El aumento de los grupos de ransomware ha provocado un aumento de los incidentes de ransomware en todo el mundo, lo que ha afectado a diversos sectores e infraestructuras críticas.
Los investigadores de ciberseguridad de Microsoft descubrieron recientemente que el grupo de ransomware “Storm-0501” está atacando activamente entornos de nube híbrida.
Storm-0501 Ataca el entorno de la nube
Storm-0501 es un grupo de amenazas “motivado financieramente” que lanzó sofisticados “ataques de múltiples etapas” dirigidos a “entornos de nube híbrida” en varios “sectores estadounidenses” e “infraestructuras críticas”.
El grupo obtuvo acceso inicial a sistemas locales explotando vulnerabilidades en Zoho ManageEngine, Citrix NetScaler y ColdFusion 2016.
Luego utilizamos herramientas como “Impacket's SecretsDump” y “Cobalt Strike” para el movimiento lateral y la autenticación.
Al comprometer la cuenta de Microsoft Entra Connect Sync, un atacante puede pasar de un entorno local a uno en la nube y manipular las identidades de Microsoft Entra ID (anteriormente conocido como Azure AD).
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Registro gratuito
Usaron Rclone disfrazado de binario de Windows para robar datos e implementar múltiples variantes de ransomware (Hive, BlackCat y LockBit).
Las tácticas de Storm-0501 resaltan los crecientes desafíos de seguridad en las configuraciones de nube híbrida y resaltan la necesidad de defensas sólidas tanto en la infraestructura local como en la nube, afirma el aviso de Microsoft.
Este grupo es para “Cuentas con funciones de MFA y Administrador global deshabilitadas”.
Los atacantes utilizan una variedad de técnicas para crear puertas traseras persistentes. Los discutiremos a continuación.
Abuso de sincronización de contraseñas Secuestro de sesión en la nube Uso del módulo AADInternals PowerShell
Puede convertir dominios administrados en dominios federados, manipular tokens SAML y potencialmente eludir MFA.
En algunos casos, los atacantes implementan el “ransomware Embargo”. Esta es una variante basada en Rust que utiliza criptografía avanzada y se distribuye a través de objetos de política de grupo (GPO) y tareas programadas.
Este ransomware cifra archivos y cambia sus extensiones a “.partial”, “.564ba1” o “.embargo” y emplea tácticas de extorsión dual.
medidas de mitigación
Todas las mitigaciones se describen a continuación. –
Utilice privilegios mínimos y audite cuentas privilegiadas. Habilite el acceso condicional para el cumplimiento del dispositivo y las IP confiables. Restrinja las cuentas de sincronización de Entra ID de IP que no sean de confianza. Utilice autenticación resistente a phishing para aplicaciones críticas. Siga las mejores prácticas de los Servicios de federación de Active Directory. Consulte las prácticas recomendadas de seguridad de Azure AD. Active las alertas de Defender para aplicaciones en la nube. Evite omitir Entra MFA al federarse. Bloquear el inicio de sesión en dominios no federados. Habilite la protección de Entra ID para inicios de sesión riesgosos. Proteja sus servicios con protección contra manipulaciones. Bloquee herramientas de TI no autorizadas con AppLocker. Para mayor protección, ejecute EDR en modo de bloqueo. Habilite la investigación automática en Defender.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Storm-0501 Ransomware Group Attacking Hybrid Cloud Environments