Storm-0501

Storm-0501: ameaça cibernética na nuvem híbrida

Recentemente, a Microsoft identificou o grupo Storm-0501 como uma das principais ameaças em ataques de ransomware direcionados a ambientes de nuvem híbrida, afetando setores críticos como governo, manufatura, transporte e aplicação da lei nos Estados Unidos. Essa campanha de ataque em várias etapas compromete infraestruturas de TI, movendo-se lateralmente de ambientes locais (on-premises) para a nuvem, resultando em roubo de credenciais, exfiltração de dados e em muitos casos a implantação de ransomware.

 

Quem é o Storm-0501?

O Storm-0501 é um grupo de cibercriminosos com motivações financeiras que utiliza ferramentas de código aberto e convencionais para conduzir operações de ransomware. Em atividade desde 2021, o grupo inicialmente se concentrou em ataques contra entidades educacionais, utilizando o ransomware Sabbath (54bb47h). Ao longo dos anos evoluiu para um modelo de afiliados de ransomware como serviço (RaaS), utilizando diversos tipos de ransomware, como Hive, BlackCat (ALPHV), Hunters International, LockBit e Embargo.

 

Táticas de acesso e movimentação lateral

Uma das características marcantes das operações do Storm-0501 é o uso de credenciais fracas e contas com privilégios excessivos. Essas vulnerabilidades são exploradas para acessar infraestruturas de TI locais e posteriormente mover-se para ambientes de nuvem. O grupo também utiliza métodos de acesso inicial, incluindo o uso de pontos de entrada estabelecidos por corretores de acesso, como Storm-0249 e Storm-0900, ou a exploração de vulnerabilidades conhecidas de execução remota de código em servidores expostos à internet, como Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion.

Ao obter acesso, o grupo conduz operações de descoberta para identificar ativos de alto valor, coletar informações de domínio e realizar reconhecimento do Active Directory. Para manter a persistência, ferramentas de monitoramento e gerenciamento remoto, como AnyDesk, são implantadas, permitindo que o atacante continue suas atividades na rede comprometida.

 

Ferramentas utilizadas e ameaças adicionais

O Storm-0501 emprega uma série de ferramentas para alcançar seus objetivos. Uma das técnicas mais utilizadas é o Impacket’s SecretsDump, que permite a extração de credenciais pela rede. O grupo também utiliza essas credenciais comprometidas para acessar mais dispositivos e continuar coletando informações sensíveis, como segredos do KeePass.

Além disso, o grupo recorre ao Cobalt Strike para movimentação lateral na rede e para enviar comandos subsequentes. A exfiltração de dados do ambiente local é frequentemente realizada utilizando a ferramenta Rclone, que transfere os dados para o serviço de armazenamento na nuvem MegaSync

Ataques à nuvem e ransomware

O Storm-0501 tem sido observado criando portas traseiras persistentes no ambiente de nuvem, uma vez que obtém controle suficiente sobre a rede. Eles utilizam credenciais roubadas, especialmente do Microsoft Entra ID (antigo Azure AD), para mover-se do ambiente local para a nuvem. Esse movimento lateral para a nuvem é facilitado por contas comprometidas do Microsoft Entra Connect Sync ou pelo sequestro de sessão de um usuário local que tenha privilégios de administrador na nuvem, muitas vezes com autenticação multifator (MFA) desativada.

O ataque culmina com a implantação do ransomware Embargo, um ransomware baseado em Rust, descoberto pela primeira vez em maio de 2024. Sob o modelo de afiliados RaaS, o grupo de ransomware por trás do Embargo permite que afiliados, como o Storm-0501, utilizem sua plataforma para lançar ataques em troca de uma parte do resgate. A tática de dupla extorsão, que envolve criptografar os arquivos da vítima e ameaçar divulgar dados roubados a menos que o resgate seja pago é amplamente utilizada pelo Storm-0501 e seus parceiros.

 

O crescimento da ameaça

Embora o Storm-0501 seja notável por sua capacidade de implantar ransomware, nem sempre opta por essa abordagem. Em alguns casos, o grupo mantém apenas o acesso persistente à rede, evitando a distribuição de ransomware. Essa flexibilidade mostra a capacidade do grupo de adaptar suas táticas conforme o alvo e as circunstâncias.

Além disso, outras ameaças cibernéticas continuam a emergir. O grupo DragonForce, por exemplo, tem utilizado uma variante do ransomware LockBit 3.0 e uma versão modificada do Conti em ataques direcionados a empresas dos setores de manufatura, imobiliário e transporte. Esses ataques são caracterizados pelo uso da porta traseira SystemBC para persistência, além de ferramentas como Mimikatz e Cobalt Strike para coleta de credenciais e movimentação lateral.

 

Conclusão

O Storm-0501 representa uma ameaça significativa para as infraestruturas de nuvem híbrida. Com a capacidade de se mover lateralmente entre ambientes locais e de nuvem, e utilizando uma combinação de ferramentas poderosas, o grupo consegue causar danos substanciais a redes corporativas. Sua abordagem de dupla extorsão e a evolução constante de suas táticas indicam que as organizações precisam permanecer vigilantes e adotar medidas robustas de segurança para mitigar esses riscos. A adoção de autenticação multifator (MFA), a implementação de políticas de privilégio mínimo e a correção rápida de vulnerabilidades conhecidas são ações essenciais para proteger contra ameaças como o Storm-0501.

 

Fonte e Imagens: https://thehackernews.com/2024/09/microsoft-identifies-storm-0501-as.html