Microsoft ha alertado que el grupo de ransomware Storm-0501 ha cambiado su enfoque, dirigiendo sus ataques hacia entornos de nube híbrida con la intención de comprometer todos los activos de sus víctimas. Este grupo apareció en 2021 como afiliado de la operación de Sabbath, pero ha evolucionado utilizando malware de cifrado asociado con Hive, BlackCat, LockBit y Hunters International. Recientemente, han comenzado a usar el Embargo Ransomware.

Microsoft señala que Storm-0501 accede a los entornos en la nube explotando credenciales débiles y cuentas privilegiadas para robar datos y lanzar ataques. También, aprovecha vulnerabilidades conocidas para ingresar a las redes, entre las fallas explotadas están CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler), CVE-2023-29300 y CVE-2023-38203 (ColdFusion 2016).

Una vez dentro, se desplazan lateralmente usando Impacket y Cobalt Strike, roban datos con un binario Rclone personalizado y desactivan los sistemas de seguridad con cmdlets de PowerShell. Las víctimas incluyen hospitales, entidades gubernamentales, empresas manufactureras, transporte y agencias de seguridad.

Storm-0501 aprovecha las credenciales de Microsoft Entra ID (conocido como Azure AD) y compromete tanto los entornos locales como los de la nube, utilizando cuentas de sincronización para mantener el acceso persistente.

Las cuentas de sincronización de Microsoft Entra Connect son fundamentales para transferir datos entre Active Directory (AD) local y Entra ID en la nube, permitiendo acciones confidenciales. Si los atacantes controlan estas credenciales, pueden usar herramientas como AADInternals para modificar contraseñas y eludir las medidas de seguridad.

Después de asegurar el acceso a la infraestructura en la nube, Storm-0501 establece un backdoor, creando un dominio federado en Microsoft Entra, lo que permite autenticar usuarios y manipular la propiedad «Immutableid».

En su etapa final, lanza Embargo Ransomware en los sistemas locales y en la nube o mantienen la backdoor para futuros accesos. El malware se ejecuta a través de cuentas comprometidas, como administradores de dominio, utilizando tareas programadas o políticas de grupo para cifrar archivos en los dispositivos de la organización.

Fuente:

Embargo ransomware escalates attacks to cloud environments