Furtuna-0501 Amenințare Actor
Grupul de criminali cibernetici cunoscut sub numele de Storm-0501 s-a concentrat în mod special pe sectoare precum guvernul, producția, transportul și aplicarea legii din Statele Unite pentru a executa atacurile lor ransomware. Campania lor în mai multe etape își propune să se infiltreze în mediile cloud hibride, facilitând mișcarea laterală de la sistemele on-premise la infrastructurile cloud. Această strategie duce în cele din urmă la diverse rezultate rău intenționate, inclusiv exfiltrarea datelor, furtul de acreditări, manipularea, accesul persistent în ușile din spate și implementarea de ransomware.
Cuprins
Evoluția furtunii-0501
Storm-0501 operează cu motivații financiare în centrul activităților sale, utilizând atât instrumente comerciale, cât și instrumente open-source pentru a-și desfășura operațiunile ransomware. Activ din 2021, acest grup a vizat inițial instituțiile de învățământ folosind ransomware-ul Sabbath (54bb47h). De-a lungul timpului, au trecut la un model Ransomware-as-a-Service (RaaS), oferind o gamă largă de încărcături utile de ransomware. Repertoriul lor include acum diverse tulpini notorii, cum ar fi Hive, BlackCat (ALPHV), Hunters International , LockBit și Embargo Ransomware .
Vectorii de atac inițiali utilizați de Storm-0501
O caracteristică semnificativă a operațiunilor Storm-0501 este exploatarea lor a acreditărilor slabe și a conturilor prea privilegiate, ceea ce le permite să treacă fără probleme de la sistemele locale ale unei organizații la infrastructurile cloud.
În plus, ei folosesc diverse metode de acces inițial, cum ar fi exploatarea punctelor de sprijin stabilite de brokerii de acces precum Storm-0249 și Storm-0900. Ele vizează, de asemenea, servere nepatchate, orientate spre internet, exploatând vulnerabilitățile cunoscute de execuție a codului de la distanță în platforme precum Zoho ManageEngine, Citrix NetScaler și Adobe ColdFusion 2016.
Utilizând oricare dintre aceste metode, Storm-0501 câștigă oportunitatea de a efectua recunoașteri extinse, permițându-le să identifice active de mare valoare, să colecteze informații despre domeniu și să efectueze investigații Active Directory. Această fază este de obicei urmată de instalarea instrumentelor de monitorizare și management de la distanță (RMM) pentru a asigura accesul și persistența continuă.
Exploatarea privilegiilor de către Storm-0501
Actorul amenințării a valorificat privilegiile administrative obținute de la dispozitivele locale compromise în timpul fazei inițiale de acces, încercând să-și extindă raza în rețea prin diverse metode. În primul rând, au folosit modulul SecretsDump de la Impacket, care facilitează extragerea acreditărilor prin rețea, utilizându-l pe o gamă largă de dispozitive pentru a aduna informații valoroase de conectare.
Odată ce au dobândit aceste acreditări compromise, actorul amenințării le-a folosit pentru a se infiltra în dispozitive suplimentare și a extrage mai multe acreditări. În timpul acestui proces, au accesat fișiere sensibile pentru a prelua secretele KeePass și au executat atacuri de forță brută pentru a obține acreditări pentru conturile vizate.
Mișcare laterală și exfiltrare a datelor
Cercetătorii au observat că Storm-0501 folosește Cobalt Strike pentru mișcarea laterală în cadrul rețelei, utilizând acreditările furate pentru a executa comenzile ulterioare. Pentru exfiltrarea datelor din mediul local, au folosit Rclone pentru a transfera date sensibile către serviciul de stocare în cloud public MegaSync.
În plus, actorul amenințării a fost remarcat pentru stabilirea unui acces persistent în backdoor la mediile cloud și pentru implementarea de ransomware pe sistemele locale. Acest lucru îi marchează drept cel mai recent actor de amenințări care s-a concentrat pe configurațiile de cloud hibrid, pe urmele unor grupuri precum Octo Tempest și Manatee Tempest.
Vizează Cloudul
Actorul amenințării a folosit acreditările culese, în special cele de la Microsoft Entra ID (fostul Azure AD), pentru a facilita deplasarea laterală de la sistemele locale la mediile cloud, stabilind o ușă în spate persistentă pentru accesul continuu la rețeaua țintă.
Această tranziție la cloud se realizează de obicei fie printr-un cont de utilizator Microsoft Entra Connect Sync compromis, fie prin deturnarea sesiunii unui cont de utilizator local care deține un cont de administrator în cloud, în special dacă autentificarea multifactor (MFA) este dezactivată .
Implementarea ransomware-ului Embargo
Atacul culminează cu desfășurarea ransomware-ului Embargo în întreaga organizație a victimei, odată ce actorul amenințării și-a asigurat suficient control asupra rețelei și a exfiltrat cu succes fișierele de interes. Embargo, o variantă de ransomware bazată pe Rust, a fost identificată pentru prima dată în mai 2024.
Funcționând sub un model Ransomware-as-a-Service (RaaS), grupul din spatele Embargo permite afiliaților precum Storm-0501 să-și folosească platforma pentru lansarea de atacuri în schimbul unui procent din răscumpărare. Afiliații Embargo folosesc tactici de extorcare dublă, criptând fișierele unei victime, în timp ce amenință simultan că vor elibera date sensibile culese dacă nu se plătește răscumpărarea.
