Microsoft está rastreando Storm-0501 por comprometer entornos de nube híbrida y lanzar ataques que realizan un movimiento lateral desde las instalaciones a la nube, lo que resulta en filtración de datos, robo de credenciales y acceso persistente de puerta trasera a ransomware como servicio (RaaS). ) grupos, incluidos ataques de ransomware.
Microsoft Threat Intelligence dijo en una publicación de blog del 26 de septiembre que el grupo RaaS está apuntando a múltiples sectores en los Estados Unidos, incluidos el gobierno, la manufactura, el transporte y las fuerzas del orden. Según Microsoft, Storm-0501 opera como un grupo cibercriminal con motivación financiera y utiliza herramientas básicas y de código abierto para llevar a cabo sus ataques.
Storm-0501 ha estado activo desde que comenzó a atacar distritos escolares en 2021 y ha evolucionado hasta convertirse en un grupo RaaS. Según Microsoft, se han implementado múltiples cargas útiles de ransomware desarrolladas y mantenidas por varios grupos de amenazas importantes, incluidos Hive, BlackCat/ALPHV, Hunters International y LockBit. Más recientemente, ocurrió el ransomware Embargo. Microsoft dijo que también se han observado grupos RaaS atacando recientemente hospitales en los Estados Unidos.
Así es como Storm-0501 se estropea. Según los investigadores, el atacante aprovecha los privilegios administrativos del dispositivo local comprometido durante el acceso inicial y luego intenta acceder a más cuentas en la red de varias maneras. Storm-0501 utiliza principalmente el módulo SecretsDump de Impacket. Se trata de un script Python legítimo para la gestión de claves y hash que el atacante utiliza para extraer credenciales a través de la red, que luego se aprovecha para obtener credenciales en una gran cantidad de dispositivos.
Itzik Alvas, cofundador y director ejecutivo de Entro Security, dijo que Storm-0501 pudo apuntar a identidades no humanas (NHI), como cuentas de servicio utilizadas en contenedores en entornos de nube, al apuntar al módulo SecretsDump de Impacket. Explicó que también. utilizó la información para comprometer NHI adicionales. Añadió que utilizan las credenciales comprometidas para enviar mensajes directamente al personal de las organizaciones que han sido víctimas del exploit.
“Los ataques laterales basados en credenciales de Storm-0501 son una llamada de atención para que las organizaciones obtengan visibilidad y contexto completos del NHI en sus entornos”, afirmó Alvas. “Según el Informe de costos de vulneración de datos de 2024 de IBM, se necesitan un promedio de más de 200 días para identificar una credencial comprometida y dos meses adicionales para contenerla, por lo que es importante adelantarse a este problema.
Dada la complejidad y escala de los entornos de nube híbrida, estamos viendo que atacantes como Storm-0501 apuntan cada vez más a estos sistemas. Esto se debe a que la superficie de ataque es grande y hay muchos puntos de entrada potenciales. dijo Patrick Tickett, vicepresidente de seguridad y arquitectura de Keeper Security. Tickett dijo que los equipos de seguridad necesitan un enfoque integral y proactivo para adelantarse a estas amenazas.
Tikett dijo que una estrategia de Confianza Cero restringe el acceso basándose en una verificación continua, asegurando que los usuarios solo tengan acceso a los recursos necesarios para su función específica y minimizando la exposición a actores maliciosos, dijo que el equipo debe comenzar con una estrategia de Confianza Cero.
“Las credenciales débiles siguen siendo uno de los puntos de entrada más vulnerables en entornos de nube híbrida y es probable que sean explotadas por grupos como Storm-0501”, afirmó Tickett. “Los equipos de seguridad deben priorizar el fortalecimiento de las políticas de contraseñas aplicando credenciales sólidas y únicas para todas las cuentas e implementando autenticación multifactor en todos los sistemas”.
https://www.scworld.com/news/raas-group-storm-0501-targets-hybrid-cloud-environments-in-the-us
