Microsoft waarschuwt dat de ransomware-dreigingsacteur Storm-0501 recentelijk van tactiek is veranderd en nu hybride cloudomgevingen aanvalt, waarbij de strategie wordt uitgebreid om alle activa van slachtoffers te compromitteren.

De dreigingsacteur verscheen voor het eerst in 2021 als een ransomware-filiaal voor de Sabbath ransomware-operatie. Later begonnen ze het netwerkversleutelende malware van Hive, BlackCat, LockBit en Hunters International-bendes te gebruiken. Recentelijk is waargenomen dat ze de Embargo ransomware hebben ingezet.

De recente aanvallen van Storm-0501 waren gericht op ziekenhuizen, overheden, productie- en transportorganisaties en wetshandhavingsinstanties in de Verenigde Staten.

Aanvals verloop van Storm-0501

De aanvaller verkrijgt toegang tot cloudomgevingen door zwakke inloggegevens te misbruiken en gebruik te maken van bevoordeelde accounts, met als doel gegevens te stelen en een ransomware-belasting uit te voeren.

Microsoft legt uit dat Storm-0501 initiële toegang tot het netwerk krijgt door gestolen of gekochte inloggegevens te gebruiken, of door bekende kwetsbaarheden te exploiteren.

Enkele van de kwetsbaarheden die in recente aanvallen zijn gebruikt zijn CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler), en mogelijk CVE-2023-29300 of CVE-2023-38203 (ColdFusion 2016).

De tegenstander beweegt zich lateraal met behulp van frameworks als Impacket en Cobalt Strike, steelt gegevens via een aangepaste Rclone-binary die is hernoemd om op een Windows-tool te lijken, en schakelt beveiligingsagenten uit met PowerShell-cmdlets.

Door gebruik te maken van gestolen Microsoft Entra ID (voorheen Azure AD) inloggegevens, beweegt Storm-0501 van on-premise naar cloudomgevingen, waarbij synchronisatie-accounts worden gecompromitteerd en sessies worden gekaapt voor persistentie.

Microsoft Entra Connect Sync-accounts zijn cruciaal voor het synchroniseren van gegevens tussen on-premises Active Directory (AD) en cloud-gebaseerde Microsoft Entra ID en staan meestal een breed scala aan gevoelige acties toe.

Als de aanvallers de inloggegevens van het Directory Synchronization-account bezitten, kunnen ze gespecialiseerde tools zoals AADInternals gebruiken om wachtwoorden in de cloud te wijzigen, waardoor aanvullende beveiligingen worden omzeild.

Als er een domeinbeheerder of andere hoogbevoogde on-premises account ook in de cloudomgeving bestaat en er geen adequate beveiligingen, zoals multi-factor authenticatie, zijn, kan Storm-0501 dezelfde inloggegevens gebruiken om opnieuw toegang tot de cloud te krijgen.

Na het verkrijgen van toegang tot de cloudinfrastructuur, plant de dreigingsacteur een persistente achterdeur door een nieuw gefedereerd domein binnen de Microsoft Entra tenant te creëren, waardoor ze zich kunnen verifiëren als elke gebruiker waarvan de “Immutableid”-eigenschap bekend is of door hen is ingesteld.

In de laatste stap zullen de aanvallers ofwel Embargo ransomware inzetten in de on-premise en cloudomgevingen van het slachtoffer, of de achterdeurbereikbaarheid behouden voor een later tijdstip.

“We observeerden dat de dreigingsacteur niet altijd resort tot het distribueren van ransomware, en in sommige gevallen alleen achterdeurbereikbaarheid in het netwerk behouden,” zei Microsoft.

De ransomware-belasting wordt ingezet met gecompromitteerde accounts zoals Domeinbeheerder, via geplande taken of Groepsbeleidsobjecten (GPO’s) om bestanden op de apparaten van de organisatie te versleutelen.

Embargo ransomware activiteit

De dreigingsgroep Embargo gebruikt op Rust gebaseerde malware om hun ransomware-as-a-service (RaaS)-operatie uit te voeren, die affiliates accepteert die bedrijven infiltreren om de belasting in te zetten en een deel van de winst delen met de ontwikkelaars.

In augustus 2024 trof een Embargo ransomware affiliate de American Radio Relay League (ARRL) en ontving $1 miljoen in ruil voor een werkende decryptor.

Eerder dit jaar, in mei, infiltreerde een Embargo-filiaal Firstmac Limited, een van de grootste hypotheekverstrekkers en vermogensbeheerders van Australië, en lekte 500GB aan gestolen gevoelige gegevens toen de deadline voor een oplossing was bereikt.