Storm-0501 Bedreigingsactor
De cybercriminele groep die bekendstaat als Storm-0501 heeft zich specifiek gericht op sectoren zoals overheid, productie, transport en wetshandhaving in de Verenigde Staten om hun ransomware-aanvallen uit te voeren. Hun meerfasencampagne is gericht op het infiltreren van hybride cloudomgevingen, waardoor laterale verplaatsing van on-premises systemen naar cloudinfrastructuren wordt vergemakkelijkt. Deze strategie leidt uiteindelijk tot verschillende kwaadaardige uitkomsten, waaronder data-exfiltratie, diefstal van inloggegevens, manipulatie, aanhoudende backdoor-toegang en de inzet van ransomware.
Inhoudsopgave
De evolutie van Storm-0501
Storm-0501 opereert met financiële motieven als kern van haar activiteiten, en maakt gebruik van zowel commerciële als open-source tools om haar ransomware-operaties uit te voeren. Deze groep is actief sinds 2021 en richtte zich aanvankelijk op onderwijsinstellingen met behulp van de Sabbath (54bb47h) Ransomware. Na verloop van tijd zijn ze overgestapt op een Ransomware-as-a-Service (RaaS)-model, dat een reeks ransomware-payloads biedt. Hun repertoire omvat nu verschillende beruchte stammen zoals Hive, BlackCat (ALPHV), Hunters International , LockBit en de Embargo Ransomware .
Initiële aanvalsvectoren gebruikt door Storm-0501
Een belangrijk kenmerk van de activiteiten van Storm-0501 is het misbruiken van zwakke inloggegevens en accounts met te veel privileges. Hierdoor kunnen ze naadloos overstappen van de on-premises systemen van een organisatie naar cloudinfrastructuren.
Daarnaast gebruiken ze verschillende initiële toegangsmethoden, zoals het benutten van voetstappen die zijn gevestigd door toegangsmakelaars zoals Storm-0249 en Storm-0900. Ze richten zich ook op ongepatchte internetservers, waarbij ze bekende kwetsbaarheden voor uitvoering van externe code in platforms zoals Zoho ManageEngine, Citrix NetScaler en Adobe ColdFusion 2016 exploiteren.
Door een van deze methoden te gebruiken, krijgt Storm-0501 de kans om uitgebreide verkenningen uit te voeren, waardoor ze waardevolle activa kunnen identificeren, domeininformatie kunnen verzamelen en Active Directory-onderzoeken kunnen uitvoeren. Deze fase wordt doorgaans gevolgd door de installatie van remote monitoring and management tools (RMM's) om voortdurende toegang en persistentie te garanderen.
Exploitatie van privileges door Storm-0501
De dreigingsactor profiteerde van administratieve privileges die waren verkregen van gecompromitteerde lokale apparaten tijdens de eerste toegangsfase, en probeerde zijn bereik binnen het netwerk uit te breiden via verschillende methoden. In de eerste plaats gebruikten ze de SecretsDump-module van Impacket, die de extractie van credentials via het netwerk faciliteert en deze op een breed scala aan apparaten inzet om waardevolle inloggegevens te verzamelen.
Nadat ze deze gecompromitteerde inloggegevens hadden verkregen, gebruikte de dreigingsactor ze om extra apparaten te infiltreren en meer inloggegevens te extraheren. Tijdens dit proces kregen ze toegang tot gevoelige bestanden om KeePass-geheimen op te halen en voerden ze brute-force-aanvallen uit om inloggegevens voor gerichte accounts te verkrijgen.
Laterale verplaatsing en data-exfiltratie
Onderzoekers hebben waargenomen dat Storm-0501 Cobalt Strike gebruikt voor laterale verplaatsing binnen het netwerk, waarbij de gestolen inloggegevens worden gebruikt om vervolgopdrachten uit te voeren. Voor data-exfiltratie uit de on-premises omgeving, gebruikten ze Rclone om gevoelige data over te brengen naar de MegaSync openbare cloudopslagservice.
Bovendien is de dreigingsactor bekend om het opzetten van persistente backdoor-toegang tot cloudomgevingen en het implementeren van ransomware op on-premises systemen. Dit markeert hen als de nieuwste dreigingsactor die zich richt op hybride cloudopstellingen, in de voetsporen van groepen als Octo Tempest en Manatee Tempest.
Richten op de cloud
De kwaadwillende actor maakte gebruik van verkregen inloggegevens, met name die van Microsoft Entra ID (voorheen Azure AD), om laterale verplaatsing van on-premises systemen naar cloudomgevingen mogelijk te maken. Zo werd een permanente achterdeur gecreëerd voor voortdurende toegang tot het doelnetwerk.
Deze overgang naar de cloud wordt doorgaans bereikt via een gecompromitteerd Microsoft Entra Connect Sync-gebruikersaccount of door de sessie van een on-premises gebruikersaccount te kapen dat een beheerdersaccount in de cloud heeft, met name als multifactorauthenticatie (MFA) is uitgeschakeld.
Implementatie van de Embargo Ransomware
De aanval culmineert in de implementatie van Embargo-ransomware in de gehele slachtofferorganisatie zodra de dreigingsactor voldoende controle over het netwerk heeft verkregen en met succes bestanden van belang heeft geëxfiltreerd. Embargo, een Rust-gebaseerde ransomwarevariant, werd voor het eerst geïdentificeerd in mei 2024.
De groep achter Embargo, die werkt volgens een Ransomware-as-a-Service (RaaS)-model, staat affiliates zoals Storm-0501 toe om hun platform te gebruiken voor het lanceren van aanvallen in ruil voor een percentage van het losgeld. Embargo-affiliates gebruiken dubbele afpersingstactieken, waarbij ze de bestanden van een slachtoffer versleutelen en tegelijkertijd dreigen gevoelige verzamelde gegevens vrij te geven tenzij het losgeld wordt betaald.
