Storm-0501 -uhkanäyttelijä
Storm-0501-niminen kyberrikollisryhmä on keskittynyt erityisesti sellaisiin sektoreihin kuin hallinto, valmistus, kuljetus ja lainvalvonta Yhdysvalloissa suorittaakseen kiristysohjelmahyökkäyksiään. Heidän monivaiheisen kampanjansa tavoitteena on soluttautua hybridipilviympäristöihin, mikä helpottaa sivuttaista siirtymistä paikallisista järjestelmistä pilviinfrastruktuureihin. Tämä strategia johtaa lopulta erilaisiin haitallisiin lopputuloksiin, mukaan lukien tietojen suodattaminen, valtuustietojen varkaus, peukalointi, jatkuva takaoven käyttö ja kiristysohjelmien käyttöönotto.
Sisällysluettelo
Storm-0501:n kehitys
Storm-0501 toimii taloudellisilla syillä toimintansa ytimessä ja käyttää sekä kaupallisia että avoimen lähdekoodin työkaluja ransomware-toimintojensa toteuttamiseen. Tämä vuodesta 2021 lähtien toiminut ryhmä kohdistui aluksi oppilaitoksiin, joissa käytettiin Sabbath (54bb47h) Ransomwarea. Ajan myötä ne ovat siirtyneet Ransomware-as-a-Service (RaaS) -malliin, joka tarjoaa erilaisia ransomware-hyötykuormia. Heidän ohjelmistoonsa kuuluu nyt useita pahamaineisia kantoja, kuten Hive, BlackCat (ALPHV), Hunters International , LockBit ja Embargo Ransomware .
Storm-0501:n käyttämät alkuperäiset hyökkäysvektorit
Eräs Storm-0501:n toiminnan merkittävä ominaisuus on heikkojen tunnistetietojen ja ylioikeutettujen tilien hyödyntäminen, minkä ansiosta he voivat siirtyä saumattomasti organisaation paikallisista järjestelmistä pilviinfrastruktuureihin.
Lisäksi ne käyttävät erilaisia alkupääsymenetelmiä, kuten Storm-0249:n ja Storm-0900:n kaltaisten pääsyvälittäjien luomia jalansijaa. Ne kohdistuvat myös korjaamattomiin Internetiin päin oleviin palvelimiin, jotka hyödyntävät tunnettuja koodin etäsuorittamisen haavoittuvuuksia sellaisilla alustoilla kuin Zoho ManageEngine, Citrix NetScaler ja Adobe ColdFusion 2016.
Hyödyntämällä mitä tahansa näistä menetelmistä Storm-0501 saa mahdollisuuden suorittaa laajaa tiedustelua, jonka avulla he voivat tunnistaa arvokkaita omaisuuseriä, kerätä verkkotunnuksen tietoja ja suorittaa Active Directory -tutkimuksia. Tätä vaihetta seuraa tyypillisesti etävalvonta- ja -hallintatyökalujen (RMM) asennus jatkuvan käytön ja pysyvyyden varmistamiseksi.
Storm-0501:n oikeuksien hyödyntäminen
Uhkatoimija hyödynsi järjestelmänvalvojan oikeuksia, jotka saatiin vaarantuneista paikallisista laitteista alkupääsyvaiheen aikana, ja yritti laajentaa kattavuuttaan verkon sisällä eri menetelmin. Ensisijaisesti he käyttivät Impacketin SecretsDump-moduulia, joka helpottaa valtuustietojen poimimista verkon kautta hyödyntäen sitä useissa eri laitteissa arvokkaiden kirjautumistietojen keräämiseksi.
Kun he saivat nämä vaarantuneet tunnistetiedot, uhkatoimija käytti niitä soluttautuakseen lisälaitteisiin ja poimiakseen lisää valtuustietoja. Tämän prosessin aikana he käyttivät arkaluonteisia tiedostoja hakeakseen KeePass-salaisuuksia ja suorittivat raakoja hyökkäyksiä saadakseen tunnistetiedot kohdistetuille tileille.
Sivusuuntainen liike ja tietojen suodattaminen
Tutkijat ovat havainneet Storm-0501:n käyttävän Cobalt Strikeä sivuttaisliikenteeseen verkossa ja käyttämällä varastettuja tunnistetietoja jatkokomentojen suorittamiseen. He käyttivät Rclonea siirtämään arkaluontoisia tietoja MegaSyncin julkiseen pilvitallennuspalveluun tietojen suodattamiseen paikallisesta ympäristöstä.
Lisäksi uhkatoimija on huomattu jatkuvan takaoven pääsyn luomiseen pilviympäristöihin ja kiristysohjelmien käyttöönottamisesta paikan päällä oleviin järjestelmiin. Tämä merkitsee heitä uusimpana uhkatoimijana, joka keskittyy hybridipilviasennuksiin seuraamalla Octo Tempestin ja Manatee Tempestin kaltaisten ryhmien jalanjälkiä.
Kohdistus pilveen
Uhkatoimija hyödynsi kerättyjä valtuustietoja, erityisesti Microsoft Entra ID:stä (entinen Azure AD), helpottaakseen sivuttaista siirtymistä paikallisista järjestelmistä pilviympäristöihin ja loi pysyvän takaoven jatkuvalle pääsylle kohdeverkkoon.
Tämä siirtyminen pilveen tapahtuu yleensä joko vaarantuneen Microsoft Entra Connect Sync -käyttäjätilin kautta tai kaappaamalla sellaisen paikallisen käyttäjätilin istunto, jolla on järjestelmänvalvojan tili pilvessä, erityisesti jos monitekijätodennus (MFA) on poistettu käytöstä. .
Embargo Ransomwaren käyttöönotto
Hyökkäys huipentuu Embargo ransomwaren levittämiseen uhriorganisaatioon, kun uhkatekijä on varmistanut riittävän verkon hallinnan ja onnistuneesti suodattanut kiinnostavia tiedostoja. Embargo, ruosteeseen perustuva kiristysohjelmavariantti, tunnistettiin ensimmäisen kerran toukokuussa 2024.
Ransomware-as-a-Service (RaaS) -mallilla toimiva Embargon takana oleva ryhmä sallii Storm-0501:n kaltaisten tytäryhtiöiden käyttää alustaansa hyökkäyksiin vastineeksi prosenttiosuudesta lunnaista. Embargon tytäryhtiöt käyttävät kaksinkertaista kiristystaktiikkaa, salaavat uhrin tiedostot ja uhkaavat samalla vapauttaa arkaluontoisia kerättyjä tietoja, ellei lunnaita makseta.
