Storm-0501 Actor d'amenaça
El grup cibercriminal conegut com Storm-0501 s'ha centrat específicament en sectors com el govern, la fabricació, el transport i l'aplicació de la llei als Estats Units per executar els seus atacs de ransomware. La seva campanya en diverses etapes pretén infiltrar-se en entorns de núvol híbrids, facilitant el moviment lateral des de sistemes locals fins a infraestructures de núvol. En última instància, aquesta estratègia condueix a diversos resultats maliciosos, com ara l'exfiltració de dades, el robatori de credencials, la manipulació, l'accés persistent a la porta posterior i el desplegament de ransomware.
Taula de continguts
L'evolució de la tempesta-0501
Storm-0501 opera amb motivacions financeres al nucli de les seves activitats, utilitzant eines tant comercials com de codi obert per dur a terme les seves operacions de ransomware. Actiu des del 2021, aquest grup es va dirigir inicialment a les institucions educatives que utilitzaven el ransomware Sabbath (54bb47h). Amb el temps, han passat a un model de Ransomware com a servei (RaaS), proporcionant una sèrie de càrregues útils de ransomware. El seu repertori ara inclou diverses varietats notòries com Hive, BlackCat (ALPHV), Hunters International , LockBit i Embargo Ransomware .
Vectors d'atac inicial utilitzats per Storm-0501
Una característica important de les operacions de Storm-0501 és l'explotació de credencials febles i comptes amb privilegis excessius, cosa que els permet passar dels sistemes locals d'una organització a les infraestructures de núvol sense problemes.
A més, utilitzen diversos mètodes d'accés inicial, com ara aprofitar els punts d'accés establerts per corredors d'accés com Storm-0249 i Storm-0900. També es dirigeixen a servidors sense pegats orientats a Internet, aprofitant les vulnerabilitats conegudes d'execució de codi remot en plataformes com Zoho ManageEngine, Citrix NetScaler i Adobe ColdFusion 2016.
Mitjançant qualsevol d'aquests mètodes, Storm-0501 té l'oportunitat de dur a terme un ampli reconeixement, que els permet identificar actius de gran valor, recopilar informació del domini i realitzar investigacions de l'Active Directory. Aquesta fase sol seguir la instal·lació d'eines de control i gestió remota (RMM) per garantir l'accés i la persistència constants.
Explotació de privilegis per Storm-0501
L'actor de l'amenaça va aprofitar els privilegis administratius obtinguts dels dispositius locals compromesos durant la fase d'accés inicial, intentant ampliar el seu abast dins de la xarxa mitjançant diversos mètodes. Principalment, van emprar el mòdul SecretsDump d'Impacket, que facilita l'extracció de credencials a la xarxa, aprofitant-lo a través d'una àmplia gamma de dispositius per recopilar informació d'inici de sessió valuosa.
Un cop van adquirir aquestes credencials compromeses, l'actor de l'amenaça les va utilitzar per infiltrar-se en dispositius addicionals i extreure més credencials. Durant aquest procés, van accedir a fitxers sensibles per recuperar secrets de KeePass i van executar atacs de força bruta per obtenir credencials per als comptes dirigits.
Moviment lateral i exfiltració de dades
Els investigadors han observat que Storm-0501 utilitza Cobalt Strike per al moviment lateral dins de la xarxa, utilitzant les credencials robades per executar ordres de seguiment. Per a l'exfiltració de dades de l'entorn local, van utilitzar Rclone per transferir dades sensibles al servei d'emmagatzematge al núvol públic MegaSync.
A més, s'ha destacat l'actor de l'amenaça per establir un accés persistent a entorns de núvol i desplegar ransomware en sistemes locals. Això els marca com l'últim actor d'amenaces a centrar-se en les configuracions de núvols híbrids, seguint els passos de grups com Octo Tempest i Manatee Tempest.
Orientació al núvol
L'actor de l'amenaça va aprofitar les credencials recollides, especialment les de Microsoft Entra ID (abans Azure AD), per facilitar el moviment lateral dels sistemes locals als entorns en núvol, establint una porta posterior persistent per a l'accés continu a la xarxa de destinació.
Aquesta transició al núvol s'aconsegueix normalment mitjançant un compte d'usuari de Microsoft Entra Connect Sync compromès o segrestant la sessió d'un compte d'usuari local que posseeix un compte d'administrador al núvol, especialment si l'autenticació multifactor (MFA) està desactivada. .
Desplegament del ransomware Embargo
L'atac culmina amb el desplegament del ransomware Embargo a tota l'organització de la víctima un cop l'actor de l'amenaça s'ha assegurat un control suficient sobre la xarxa i ha exfiltrat amb èxit els fitxers d'interès. Embargo, una variant de ransomware basada en Rust, es va identificar per primera vegada el maig de 2024.
Funcionant sota un model de Ransomware-as-a-Service (RaaS), el grup que hi ha darrere d'Embargo permet a afiliats com Storm-0501 utilitzar la seva plataforma per llançar atacs a canvi d'un percentatge del rescat. Els afiliats d'Embargo utilitzen tàctiques d'extorsió dobles, xifrant els fitxers d'una víctima alhora que amenacen amb alliberar dades sensibles collides tret que es pagui el rescat.
