Storm-0501 Aktori i Kërcënimit
Grupi kriminal kibernetik i njohur si Storm-0501 është fokusuar në mënyrë specifike në sektorë të tillë si qeveria, prodhimi, transporti dhe zbatimi i ligjit brenda Shteteve të Bashkuara për të ekzekutuar sulmet e tyre ransomware. Fushata e tyre me shumë faza synon të depërtojë në mjediset hibride të reve kompjuterike, duke lehtësuar lëvizjen anësore nga sistemet brenda ambienteve në infrastrukturat cloud. Kjo strategji përfundimisht çon në rezultate të ndryshme me qëllim të keq, duke përfshirë ekfiltrimin e të dhënave, vjedhjen e kredencialeve, ndërhyrjet, aksesin e vazhdueshëm në prapavijë dhe vendosjen e ransomware.
Tabela e Përmbajtjes
Evolucioni i Storm-0501
Storm-0501 operon me motive financiare në thelb të aktiviteteve të tij, duke përdorur mjete komerciale dhe me burim të hapur për të kryer operacionet e tij ransomware. Aktiv që nga viti 2021, ky grup fillimisht synonte institucionet arsimore duke përdorur Sabbath (54bb47h) Ransomware. Me kalimin e kohës, ata kanë kaluar në një model Ransomware-as-a-Service (RaaS), duke ofruar një sërë ngarkesash ransomware. Repertori i tyre tani përfshin lloje të ndryshme famëkeqe si Hive, BlackCat (ALPHV), Hunters International , LockBit dhe Embargo Ransomware .
Vektorët e sulmit fillestar të përdorur nga Storm-0501
Një karakteristikë domethënëse e operacioneve të Storm-0501 është shfrytëzimi i tyre i kredencialeve të dobëta dhe llogarive të mbiprivilegjuara, gjë që u mundëson atyre të kalojnë pa probleme nga sistemet e brendshme të një organizate në infrastrukturat cloud.
Për më tepër, ata përdorin metoda të ndryshme të hyrjes fillestare, të tilla si shfrytëzimi i bazave të vendosura nga ndërmjetësit e aksesit si Storm-0249 dhe Storm-0900. Ata synojnë gjithashtu serverë të papatchuar që përballen me internetin, duke shfrytëzuar dobësitë e njohura të ekzekutimit të kodit në distancë në platforma si Zoho ManageEngine, Citrix NetScaler dhe Adobe ColdFusion 2016.
Duke përdorur ndonjë nga këto metoda, Storm-0501 fiton mundësinë për të kryer një zbulim të gjerë, duke i lejuar ata të identifikojnë asete me vlerë të lartë, të mbledhin informacione për domenin dhe të kryejnë hetime të Active Directory. Kjo fazë zakonisht pasohet nga instalimi i mjeteve të monitorimit dhe menaxhimit në distancë (RMM) për të siguruar akses dhe qëndrueshmëri të vazhdueshme.
Shfrytëzimi i privilegjeve nga Storm-0501
Aktori i kërcënimit ka kapitalizuar privilegjet administrative të marra nga pajisjet lokale të komprometuara gjatë fazës fillestare të aksesit, duke u përpjekur të zgjerojë shtrirjen e tyre brenda rrjetit përmes metodave të ndryshme. Kryesisht, ata përdorën modulin SecretsDump të Impacket, i cili lehtëson nxjerrjen e kredencialeve përmes rrjetit, duke e shfrytëzuar atë në një gamë të gjerë pajisjesh për të mbledhur informacione të vlefshme për hyrjen.
Pasi ata fituan këto kredenciale të komprometuara, aktori i kërcënimit i përdori ato për të depërtuar pajisje shtesë dhe për të nxjerrë më shumë kredenciale. Gjatë këtij procesi, ata aksesuan skedarë të ndjeshëm për të marrë sekretet e KeePass dhe ekzekutuan sulme brute-force për të marrë kredencialet për llogaritë e synuara.
Lëvizja anësore dhe ekfiltrimi i të dhënave
Studiuesit kanë vëzhguar Storm-0501 duke përdorur Cobalt Strike për lëvizje anësore brenda rrjetit, duke përdorur kredencialet e vjedhura për të ekzekutuar komandat vijuese. Për nxjerrjen e të dhënave nga mjedisi i brendshëm, ata përdorën Rclone për të transferuar të dhëna të ndjeshme në shërbimin publik të ruajtjes së reve kompjuterike MegaSync.
Për më tepër, aktori i kërcënimit është shquar për vendosjen e aksesit të vazhdueshëm në prapavijë në mjediset cloud dhe vendosjen e ransomware në sistemet e brendshme. Kjo i shënon ata si aktorin më të fundit të kërcënimit që fokusohet në konfigurimet hibride të reve, duke ndjekur gjurmët e grupeve si Octo Tempest dhe Manatee Tempest.
Synimi i resë
Aktori i kërcënimit përdori kredencialet e mbledhura, veçanërisht ato nga Microsoft Entra ID (ish Azure AD), për të lehtësuar lëvizjen anësore nga sistemet brenda ambienteve në mjediset cloud, duke krijuar një derë të pasme të vazhdueshme për akses të vazhdueshëm në rrjetin e synuar.
Ky kalim në cloud zakonisht arrihet ose përmes një llogarie të komprometuar të Microsoft Entra Connect Sync ose duke rrëmbyer sesionin e një llogarie përdoruesi në ambiente që posedon një llogari administratori në cloud, veçanërisht nëse vërtetimi me shumë faktorë (MFA) është i çaktivizuar .
Vendosja e Embargo Ransomware
Sulmi arrin kulmin me vendosjen e ransomware-it Embargo në të gjithë organizatën e viktimës pasi aktori i kërcënimit të ketë siguruar kontroll të mjaftueshëm mbi rrjetin dhe të ketë shfrytëzuar me sukses skedarët me interes. Embargo, një variant ransomware i bazuar në Rust, u identifikua për herë të parë në maj 2024.
Duke vepruar sipas një modeli Ransomware-as-a-a-Service (RaaS), grupi që qëndron pas Embargo lejon filialet si Storm-0501 të përdorin platformën e tij për të nisur sulme në këmbim të një përqindje të shpërblimit. Filialet e embargos përdorin taktika të zhvatjes së dyfishtë, duke enkriptuar skedarët e viktimës, ndërkohë që kërcënojnë në të njëjtën kohë të lëshojnë të dhëna të ndjeshme të grumbulluara, nëse nuk paguhet shpërblimi.
