स्टॉर्म-0501 ख़तरा अभिनेता
स्टॉर्म-0501 नामक साइबर अपराधी समूह ने अपने रैनसमवेयर हमलों को अंजाम देने के लिए विशेष रूप से संयुक्त राज्य अमेरिका में सरकार, विनिर्माण, परिवहन और कानून प्रवर्तन जैसे क्षेत्रों पर ध्यान केंद्रित किया है। उनके बहु-चरणीय अभियान का उद्देश्य हाइब्रिड क्लाउड वातावरण में घुसपैठ करना है, जिससे ऑन-प्रिमाइसेस सिस्टम से क्लाउड इंफ्रास्ट्रक्चर तक पार्श्व आंदोलन की सुविधा मिलती है। यह रणनीति अंततः विभिन्न दुर्भावनापूर्ण परिणामों की ओर ले जाती है, जिसमें डेटा एक्सफ़िल्टरेशन, क्रेडेंशियल चोरी, छेड़छाड़, लगातार बैकडोर एक्सेस और रैनसमवेयर की तैनाती शामिल है।
विषयसूची
तूफान का विकास-0501
स्टॉर्म-0501 अपनी गतिविधियों के मूल में वित्तीय प्रेरणाओं के साथ काम करता है, अपने रैनसमवेयर संचालन को अंजाम देने के लिए वाणिज्यिक और ओपन-सोर्स दोनों उपकरणों का उपयोग करता है। 2021 से सक्रिय, इस समूह ने शुरू में सब्बाथ (54bb47h) रैनसमवेयर का उपयोग करके शैक्षणिक संस्थानों को निशाना बनाया। समय के साथ, वे रैनसमवेयर-एज़-ए-सर्विस (RaaS) मॉडल में परिवर्तित हो गए हैं, जो रैनसमवेयर पेलोड की एक श्रृंखला प्रदान करते हैं। उनके प्रदर्शनों की सूची में अब हाइव, ब्लैककैट (ALPHV), हंटर्स इंटरनेशनल , लॉकबिट और एम्बार्गो रैनसमवेयर जैसे कई कुख्यात स्ट्रेन शामिल हैं।
स्टॉर्म-0501 द्वारा उपयोग किए गए प्रारंभिक आक्रमण वेक्टर
स्टॉर्म-0501 के परिचालन की एक महत्वपूर्ण विशेषता यह है कि वे कमजोर क्रेडेंशियल्स और अति-विशेषाधिकार प्राप्त खातों का दोहन करते हैं, जिससे उन्हें संगठन के ऑन-प्रिमाइसेस सिस्टम से क्लाउड इन्फ्रास्ट्रक्चर में निर्बाध रूप से स्थानांतरित करने में मदद मिलती है।
इसके अतिरिक्त, वे विभिन्न प्रारंभिक पहुँच विधियों का उपयोग करते हैं, जैसे कि स्टॉर्म-0249 और स्टॉर्म-0900 जैसे एक्सेस ब्रोकर्स द्वारा स्थापित पैर जमाने का लाभ उठाना। वे ज़ोहो मैनेजइंजीन, सिट्रिक्स नेटस्केलर और एडोब कोल्डफ़्यूज़न 2016 जैसे प्लेटफ़ॉर्म में ज्ञात रिमोट कोड निष्पादन कमज़ोरियों का फायदा उठाते हुए, बिना पैच वाले इंटरनेट-फ़ेसिंग सर्वर को भी निशाना बनाते हैं।
इनमें से किसी भी विधि का उपयोग करके, स्टॉर्म-0501 को व्यापक जांच करने का अवसर मिलता है, जिससे उन्हें उच्च-मूल्य वाली संपत्तियों की पहचान करने, डोमेन जानकारी एकत्र करने और सक्रिय निर्देशिका जांच करने की अनुमति मिलती है। इस चरण के बाद आम तौर पर निरंतर पहुंच और दृढ़ता सुनिश्चित करने के लिए दूरस्थ निगरानी और प्रबंधन उपकरण (RMM) की स्थापना की जाती है।
स्टॉर्म द्वारा विशेषाधिकारों का शोषण-0501
प्रारंभिक पहुँच चरण के दौरान समझौता किए गए स्थानीय उपकरणों से प्राप्त प्रशासनिक विशेषाधिकारों का लाभ उठाते हुए, खतरे वाले अभिनेता ने विभिन्न तरीकों से नेटवर्क के भीतर अपनी पहुँच का विस्तार करने का प्रयास किया। मुख्य रूप से, उन्होंने इम्पैक्ट के सीक्रेट्सडंप मॉड्यूल का उपयोग किया, जो नेटवर्क पर क्रेडेंशियल्स के निष्कर्षण की सुविधा देता है, मूल्यवान लॉगिन जानकारी एकत्र करने के लिए उपकरणों की एक विस्तृत श्रृंखला में इसका लाभ उठाता है।
एक बार जब उन्होंने इन समझौता किए गए क्रेडेंशियल्स को हासिल कर लिया, तो धमकी देने वाले अभिनेता ने उनका इस्तेमाल अतिरिक्त डिवाइसों में घुसपैठ करने और अधिक क्रेडेंशियल्स निकालने के लिए किया। इस प्रक्रिया के दौरान, उन्होंने KeePass रहस्यों को पुनः प्राप्त करने के लिए संवेदनशील फ़ाइलों तक पहुँच बनाई और लक्षित खातों के क्रेडेंशियल्स प्राप्त करने के लिए क्रूर-बल हमलों को अंजाम दिया।
पार्श्व आंदोलन और डेटा निष्कासन
शोधकर्ताओं ने पाया है कि स्टॉर्म-0501 नेटवर्क के भीतर पार्श्व गति के लिए कोबाल्ट स्ट्राइक का उपयोग कर रहा है, चोरी किए गए क्रेडेंशियल्स का उपयोग अनुवर्ती आदेशों को निष्पादित करने के लिए कर रहा है। ऑन-प्रिमाइसेस वातावरण से डेटा एक्सफ़िलट्रेशन के लिए, उन्होंने संवेदनशील डेटा को मेगासिंक पब्लिक क्लाउड स्टोरेज सेवा में स्थानांतरित करने के लिए आरक्लोन का उपयोग किया।
इसके अलावा, इस खतरे वाले अभिनेता को क्लाउड वातावरण में लगातार बैकडोर एक्सेस स्थापित करने और ऑन-प्रिमाइसेस सिस्टम पर रैनसमवेयर तैनात करने के लिए जाना जाता है। यह उन्हें ऑक्टो टेम्पेस्ट और मानेटी टेम्पेस्ट जैसे समूहों के नक्शेकदम पर चलते हुए हाइब्रिड क्लाउड सेटअप पर ध्यान केंद्रित करने वाले नवीनतम खतरे वाले अभिनेता के रूप में चिह्नित करता है।
क्लाउड को लक्ष्य बनाना
खतरा पैदा करने वाले ने एकत्रित क्रेडेंशियल्स का लाभ उठाया, विशेष रूप से माइक्रोसॉफ्ट एन्ट्रा आईडी (पूर्व में एज़्योर एडी) से, ताकि ऑन-प्रिमाइसेस सिस्टम से क्लाउड वातावरण में पार्श्विक आवागमन को सुगम बनाया जा सके, तथा लक्ष्य नेटवर्क तक निरंतर पहुंच के लिए एक स्थायी बैकडोर की स्थापना की जा सके।
क्लाउड में यह परिवर्तन आमतौर पर या तो किसी समझौता किए गए Microsoft Entra Connect Sync उपयोगकर्ता खाते के माध्यम से या किसी ऑन-प्रिमाइसेस उपयोगकर्ता खाते के सत्र को हाईजैक करके प्राप्त किया जाता है, जिसके पास क्लाउड में एक व्यवस्थापक खाता होता है, विशेष रूप से यदि बहु-कारक प्रमाणीकरण (MFA) अक्षम हो।
एम्बार्गो रैनसमवेयर की तैनाती
एक बार जब खतरा पैदा करने वाले व्यक्ति ने नेटवर्क पर पर्याप्त नियंत्रण हासिल कर लिया और रुचि की फ़ाइलों को सफलतापूर्वक निकाल लिया, तो यह हमला पीड़ित संगठन में एम्बार्गो रैनसमवेयर की तैनाती के साथ समाप्त होता है। एम्बार्गो, एक रस्ट-आधारित रैनसमवेयर वैरिएंट है, जिसकी पहली बार मई 2024 में पहचान की गई थी।
रैनसमवेयर-एज़-ए-सर्विस (RaaS) मॉडल के तहत काम करते हुए, एम्बार्गो के पीछे का समूह स्टॉर्म-0501 जैसे सहयोगियों को फिरौती के एक प्रतिशत के बदले में हमले शुरू करने के लिए अपने प्लेटफ़ॉर्म का उपयोग करने की अनुमति देता है। एम्बार्गो के सहयोगी दोहरी जबरन वसूली की रणनीति अपनाते हैं, पीड़ित की फ़ाइलों को एन्क्रिप्ट करते हैं और साथ ही फिरौती का भुगतान न किए जाने पर संवेदनशील डेटा को जारी करने की धमकी देते हैं।
