Attore della minaccia Storm-0501
Il gruppo di criminali informatici noto come Storm-0501 si è concentrato specificamente su settori quali governo, produzione, trasporti e forze dell'ordine negli Stati Uniti per eseguire i propri attacchi ransomware. La loro campagna in più fasi mira a infiltrarsi in ambienti cloud ibridi, facilitando il movimento laterale dai sistemi on-premise alle infrastrutture cloud. Questa strategia porta in ultima analisi a vari risultati dannosi, tra cui esfiltrazione di dati, furto di credenziali, manomissione, accesso backdoor persistente e distribuzione di ransomware.
Sommario
L'evoluzione di Storm-0501
Storm-0501 opera con motivazioni finanziarie al centro delle sue attività, utilizzando sia strumenti commerciali che open source per portare a termine le sue operazioni ransomware. Attivo dal 2021, questo gruppo inizialmente ha preso di mira istituzioni educative utilizzando il Sabbath (54bb47h) Ransomware. Nel tempo, sono passati a un modello Ransomware-as-a-Service (RaaS), fornendo una gamma di payload ransomware. Il loro repertorio ora include vari ceppi noti come Hive, BlackCat (ALPHV), Hunters International , LockBit ed Embargo Ransomware .
Vettori di attacco iniziali utilizzati da Storm-0501
Una caratteristica significativa delle operazioni di Storm-0501 è lo sfruttamento di credenziali deboli e di account con privilegi eccessivi, che consente loro di passare senza problemi dai sistemi locali di un'organizzazione alle infrastrutture cloud.
Inoltre, impiegano vari metodi di accesso iniziale, come lo sfruttamento di punti di appoggio stabiliti da broker di accesso come Storm-0249 e Storm-0900. Hanno anche come obiettivo server Internet-facing non patchati, sfruttando vulnerabilità note di esecuzione di codice remoto in piattaforme come Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion 2016.
Utilizzando uno qualsiasi di questi metodi, Storm-0501 ottiene l'opportunità di condurre una ricognizione estesa, che gli consente di identificare asset di alto valore, raccogliere informazioni di dominio ed eseguire indagini su Active Directory. Questa fase è in genere seguita dall'installazione di strumenti di monitoraggio e gestione remoti (RMM) per garantire accesso e persistenza continui.
Sfruttamento dei privilegi da parte di Storm-0501
L'attore della minaccia ha sfruttato i privilegi amministrativi ottenuti dai dispositivi locali compromessi durante la fase di accesso iniziale, tentando di espandere la propria portata all'interno della rete tramite vari metodi. Principalmente, hanno impiegato il modulo SecretsDump di Impacket, che facilita l'estrazione delle credenziali sulla rete, sfruttandolo su un'ampia gamma di dispositivi per raccogliere preziose informazioni di accesso.
Una volta acquisite queste credenziali compromesse, l'autore della minaccia le ha utilizzate per infiltrarsi in altri dispositivi ed estrarre altre credenziali. Durante questo processo, ha avuto accesso a file sensibili per recuperare i segreti di KeePass ed eseguito attacchi brute-force per ottenere le credenziali per gli account presi di mira.
Movimento laterale ed esfiltrazione dei dati
I ricercatori hanno osservato Storm-0501 utilizzare Cobalt Strike per il movimento laterale all'interno della rete, impiegando le credenziali rubate per eseguire comandi successivi. Per l'esfiltrazione dei dati dall'ambiente on-premise, hanno utilizzato Rclone per trasferire dati sensibili al servizio di archiviazione cloud pubblico MegaSync.
Inoltre, l'attore della minaccia è stato notato per aver stabilito un accesso backdoor persistente agli ambienti cloud e per aver distribuito ransomware su sistemi on-premise. Ciò lo contraddistingue come l'ultimo attore della minaccia a concentrarsi su configurazioni cloud ibride, seguendo le orme di gruppi come Octo Tempest e Manatee Tempest.
Puntando al cloud
L'autore della minaccia ha sfruttato le credenziali raccolte, in particolare quelle di Microsoft Entra ID (in precedenza Azure AD), per facilitare lo spostamento laterale dai sistemi locali agli ambienti cloud, creando una backdoor persistente per l'accesso continuo alla rete di destinazione.
Questa transizione al cloud viene in genere realizzata tramite un account utente Microsoft Entra Connect Sync compromesso o dirottando la sessione di un account utente locale che possiede un account amministratore nel cloud, in particolare se l'autenticazione a più fattori (MFA) è disabilitata.
Distribuzione del ransomware Embargo
L'attacco culmina con l'implementazione del ransomware Embargo in tutta l'organizzazione della vittima una volta che l'autore della minaccia ha ottenuto un controllo sufficiente sulla rete ed esfiltrato con successo i file di interesse. Embargo, una variante del ransomware basata su Rust, è stata identificata per la prima volta a maggio 2024.
Operando secondo un modello Ransomware-as-a-Service (RaaS), il gruppo dietro Embargo consente ad affiliati come Storm-0501 di utilizzare la sua piattaforma per lanciare attacchi in cambio di una percentuale del riscatto. Gli affiliati di Embargo impiegano tattiche di doppia estorsione, crittografando i file di una vittima e minacciando simultaneamente di rilasciare dati sensibili raccolti se il riscatto non viene pagato.
