Storm-0501 Hotskådespelare
Den cyberkriminella gruppen känd som Storm-0501 har specifikt fokuserat på sektorer som regering, tillverkning, transport och brottsbekämpning i USA för att utföra sina ransomware-attacker. Deras flerstegskampanj syftar till att infiltrera hybridmolnmiljöer, vilket underlättar lateral förflyttning från lokala system till molninfrastruktur. Denna strategi leder i slutändan till olika skadliga utfall, inklusive dataexfiltrering, identitetsstöld, manipulering, ihållande bakdörrsåtkomst och utplacering av ransomware.
Innehållsförteckning
Utvecklingen av Storm-0501
Storm-0501 arbetar med ekonomiska motiv i kärnan av sin verksamhet, och använder både kommersiella och öppen källkodsverktyg för att utföra sina ransomware-operationer. Denna grupp har varit aktiv sedan 2021 och riktade sig till en början på utbildningsinstitutioner som använder Sabbath (54bb47h) Ransomware. Med tiden har de övergått till en Ransomware-as-a-Service (RaaS)-modell, som ger en rad ransomware-nyttolaster. Deras repertoar inkluderar nu olika ökända stammar som Hive, BlackCat (ALPHV), Hunters International , LockBit och Embargo Ransomware .
Initiala attackvektorer som används av Storm-0501
En viktig egenskap hos Storm-0501:s verksamhet är att de utnyttjar svaga referenser och överprivilegierade konton, vilket gör det möjligt för dem att sömlöst övergå från en organisations lokala system till molninfrastruktur.
Dessutom använder de olika initiala åtkomstmetoder, som att utnyttja fotfästen som etablerats av åtkomstmäklare som Storm-0249 och Storm-0900. De riktar sig också mot oparpade internetservrar och utnyttjar kända sårbarheter för fjärrkörning av kod i plattformar som Zoho ManageEngine, Citrix NetScaler och Adobe ColdFusion 2016.
Genom att använda någon av dessa metoder får Storm-0501 möjligheten att utföra omfattande spaning, vilket gör att de kan identifiera värdefulla tillgångar, samla in domäninformation och utföra Active Directory-undersökningar. Denna fas följs vanligtvis av installation av fjärrövervaknings- och hanteringsverktyg (RMM) för att säkerställa kontinuerlig åtkomst och beständighet.
Exploatering av privilegier av Storm-0501
Hotaktören utnyttjade administrativa privilegier som erhållits från komprometterade lokala enheter under den inledande åtkomstfasen, och försökte utöka sin räckvidd inom nätverket med olika metoder. I första hand använde de Impackets SecretsDump-modul, som underlättar utvinningen av referenser över nätverket och utnyttjar den över ett brett spektrum av enheter för att samla in värdefull inloggningsinformation.
När de väl skaffat dessa komprometterade referenser använde hotaktören dem för att infiltrera ytterligare enheter och extrahera fler referenser. Under denna process fick de åtkomst till känsliga filer för att hämta KeePass-hemligheter och utförde brute-force-attacker för att få referenser för riktade konton.
Lateral rörelse och dataexfiltrering
Forskare har observerat att Storm-0501 använder Cobalt Strike för sidorörelse inom nätverket, och använder de stulna referenserna för att utföra efterföljande kommandon. För dataexfiltrering från den lokala miljön använde de Rclone för att överföra känslig data till MegaSyncs offentliga molnlagringstjänst.
Dessutom har hotaktören uppmärksammats för att ha etablerat beständig bakdörrsåtkomst till molnmiljöer och distribuera ransomware på lokala system. Detta markerar dem som den senaste hotaktören som fokuserar på hybridmolnuppsättningar, och följer i fotspåren av grupper som Octo Tempest och Manatee Tempest.
Inriktning mot molnet
Hotaktören utnyttjade inhämtade referenser, särskilt de från Microsoft Entra ID (tidigare Azure AD), för att underlätta lateral förflyttning från lokala system till molnmiljöer, vilket skapade en beständig bakdörr för pågående åtkomst till målnätverket.
Denna övergång till molnet uppnås vanligtvis antingen genom ett äventyrat Microsoft Entra Connect Sync-användarkonto eller genom att kapa sessionen för ett lokalt användarkonto som har ett administratörskonto i molnet, särskilt om multi-factor authentication (MFA) är inaktiverat .
Utplacering av Embargo Ransomware
Attacken kulminerar i distributionen av Embargo ransomware i hela offerorganisationen när hotaktören har säkrat tillräcklig kontroll över nätverket och framgångsrikt exfiltrerat filer av intresse. Embargo, en Rust-baserad ransomware-variant, identifierades först i maj 2024.
Med en Ransomware-as-a-Service-modell (RaaS) tillåter gruppen bakom Embargo affiliates som Storm-0501 att använda sin plattform för att starta attacker i utbyte mot en procentandel av lösensumman. Embargo-filialer använder dubbel utpressningstaktik, krypterar ett offers filer samtidigt som de hotar att släppa känslig insamlad data om inte lösensumman betalas.
