Storm-0501 Threat Actor
O grupo cibercriminoso conhecido como Storm-0501 focou especificamente em setores como governo, manufatura, transporte e aplicação da lei nos Estados Unidos para executar seus ataques de ransomware. Sua campanha de vários estágios visa infiltrar ambientes de nuvem híbrida, facilitando o movimento lateral de sistemas locais para infraestruturas de nuvem. Essa estratégia, em última análise, leva a vários resultados maliciosos, incluindo exfiltração de dados, roubo de credenciais, adulteração, acesso persistente por backdoor e implantação de ransomware.
Índice
A Evolução do Storm-0501
O Storm-0501 opera com motivações financeiras no centro de suas atividades, utilizando ferramentas comerciais e de código aberto para realizar suas operações de ransomware. Ativo desde 2021, esse grupo inicialmente tinha como alvo instituições educacionais usando o Sabbath (54bb47h) Ransomware. Com o tempo, eles fizeram a transição para um modelo Ransomware-as-a-Service (RaaS), fornecendo uma variedade de payloads de ransomware. Seu repertório agora inclui várias cepas notórias, como Hive, BlackCat (ALPHV), Hunters International, LockBit e o Embargo Ransomware.
Os Vetores Iniciais de Ataque Utilizados pelo Storm-0501
Uma característica significativa das operações da Storm-0501 é a exploração de credenciais fracas e contas com privilégios excessivos, o que lhes permite fazer a transição dos sistemas locais de uma organização para infraestruturas de nuvem sem problemas.
Além disso, eles empregam vários métodos de acesso inicial, como alavancar pontos de apoio estabelecidos por corretores de acesso como Storm-0249 e Storm-0900. Eles também têm como alvo servidores voltados para a Internet sem patch, explorando vulnerabilidades conhecidas de execução remota de código em plataformas como Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion 2016.
Ao utilizar qualquer um desses métodos, o Storm-0501 ganha a oportunidade de conduzir um reconhecimento extensivo, permitindo que eles identifiquem ativos de alto valor, coletem informações de domínio e realizem investigações do Active Directory. Essa fase é normalmente seguida pela instalação de ferramentas de monitoramento e gerenciamento remoto (RMMs) para garantir acesso e persistência contínuos.
A Exploração de Privilégios pelo Storm-0501
O agente de ameaça capitalizou privilégios administrativos obtidos de dispositivos locais comprometidos durante a fase de acesso inicial, tentando expandir seu alcance dentro da rede por meio de vários métodos. Primeiramente, eles empregaram o módulo SecretsDump da Impacket, que facilita a extração de credenciais pela rede, alavancando-a em uma ampla gama de dispositivos para coletar informações valiosas de login.
Depois de adquirir essas credenciais comprometidas, o agente da ameaça as usou para se infiltrar em dispositivos adicionais e extrair mais credenciais. Durante esse processo, eles acessaram arquivos confidenciais para recuperar segredos do KeePass e executaram ataques de força bruta para obter credenciais para contas-alvo.
Movimento Lateral e Exfiltração de Dados
Pesquisadores observaram Storm-0501 utilizando Cobalt Strike para movimentação lateral dentro da rede, empregando as credenciais roubadas para executar comandos subsequentes. Para exfiltração de dados do ambiente local, eles utilizaram Rclone para transferir dados sensíveis para o serviço de armazenamento em nuvem pública MegaSync.
Além disso, o agente de ameaça foi notado por estabelecer acesso backdoor persistente a ambientes de nuvem e implantar ransomware em sistemas locais. Isso os marca como o mais recente agente de ameaça a se concentrar em configurações de nuvem híbrida, seguindo os passos de grupos como Octo Tempest e Manatee Tempest.
Visando a Nuvem
O agente da ameaça aproveitou as credenciais coletadas, principalmente aquelas do Microsoft Entra ID (antigo Azure AD), para facilitar a movimentação lateral de sistemas locais para ambientes de nuvem, estabelecendo um backdoor persistente para acesso contínuo à rede alvo.
Essa transição para a nuvem normalmente é obtida por meio de uma conta de usuário comprometida do Microsoft Entra Connect Sync ou pelo sequestro da sessão de uma conta de usuário local que possui uma conta de administrador na nuvem, principalmente se a autenticação multifator (MFA) estiver desabilitada.
A Implantação do Embargo Ransomware
O ataque culmina na implantação do ransomware Embargo em toda a organização da vítima, uma vez que o agente da ameaça tenha garantido controle suficiente sobre a rede e exfiltrado com sucesso os arquivos de interesse. O Embargo, uma variante de ransomware baseada em Rust, foi identificado pela primeira vez em maio de 2024.
Operando sob um modelo Ransomware-as-a-Service (RaaS), o grupo por trás do Embargo permite que afiliados como Storm-0501 utilizem sua plataforma para lançar ataques em troca de uma porcentagem do resgate. Os afiliados do Embargo empregam táticas de extorsão dupla, criptografando os arquivos da vítima enquanto simultaneamente ameaçam liberar dados confidenciais coletados, a menos que o resgate seja pago.
