A inteligência da Microsoft Threat detalhou as táticas em evolução do ator de ameaças motivadas financeiramente, Storm-0501, que passou da transição das implantações tradicionais de ransomware no local para operações sofisticadas baseadas em nuvem.
Ao contrário do ransomware convencional que depende do malware de criptografia de endpoint e das principais negociações de descriptografia, o Storm-0501 explora os recursos nativos da nuvem para exfiltrar volumes de dados maciços, obliterarem backups e aplicar demandas de resgate sem malware.
Esse ator oportunista, anteriormente ligado a ataques de ransomware do Sabath nos distritos escolares dos EUA em 2021 e metas de saúde em 2023, adotou cargas úteis como o embargo em 2024, expandindo -se em ambientes híbridos em nuvem.
Mudar para estratégias de ransomware centradas na nuvem
Em um blog de setembro de 2024, a Microsoft destacou como o Storm-0501 compromete o Active Directory a Pivot ID da Microsoft ENTRAEscalando para privilégios globais de administrador por meio de domínios federados maliciosos ou criptografia local.
Campanhas recentes demonstram proficiência na navegação de dispositivos não gerenciados e lacunas de segurança em configurações de vários inquilinos, permitindo a escalada de travessia de inquilinos e privilégios.
Em um recente ataque corporativo, o Storm-0501 se infiltrou em uma configuração complexa com os domínios interconectados do Active Directory e inquilinos do Azure fragmentado, explorando a Cobertura de Cobertura do Microsoft Limited Microsoft que criou pontos cegos de visibilidade.
Pós-composição, com acesso ao administrador do domínio, o ator conduziu reconhecimento usando comandos como ‘SC Query Sense’ e ‘SC Query Windefend’ para detectar a segurança do endpoint, seguida de movimento lateral via mal-winrm para baseado em PowerShell execução remota e ferramentas como Quser.exe e net.exe para descoberta.
Análise aprofundada da cadeia de ataques
Um ataque de ataque do DCSYC representou controladores de domínio para extrair hashes de senha, ignorando alertas de autenticação.
Girando na nuvem, o ator abusou dos servidores Sync Sync ENTRA Connect para enumerar usuários e funções no AzureHound, direcionando as identidades globais de administrador global que não são protegidas por MFA.
Ao redefinir as senhas locais sincronizadas via sincronização de hash de senha (PHS), elas autenticadas ao ID da ENTRA, MFA controladas pelo atacante registradas e satisfeitas com políticas de acesso condicional de dispositivos híbridos, alcançando o controle de inquilinos completos.
A persistência foi estabelecida através de um backdoor por meio de domínios federados maliciosos, usando os Aadinternals para forjar tokens SAML para representação do usuário.
No Azure, o ator elevou acesso com Microsoft.Authorization/ElevateAccess/Action para obter funções do Administrador de Acesso ao Usuário e, em seguida, atribuiu as funções do proprietário via Microsoft.authorization/roleSsignments/Write para domínio da assinatura.
Descoberta com ativos críticos mapeados do Azurehound, como contas de armazenamento, backups e proteções, como políticas do Azure, bloqueios de recursos e políticas de imutabilidade.
Para evasão de defesa, eles permitiram acesso público em contas de armazenamento usando o Microsoft.Storage/StorageAccounts/write, roubou as teclas com Microsoft.Storage/StorageAcCounts/Listkeys/Action e dados exfiltrados via azcopy cli.
Impact involved mass deletions with operations like Microsoft.Compute/snapshots/delete for snapshots, Microsoft.Compute/restorePointCollections/delete for VM restore points, Microsoft.Storage/storageAccounts/delete for storage accounts, and Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/delete for recovery vaults.
Para superar os bloqueios e a imutabilidade, eles invocaram o Microsoft.Authorization/Locks/Delete e Microsoft.Storage/StorageAccounts/blobservices/containers/immutabilitypolicies/delete.
Para recursos resistentes, a criptografia baseada em nuvem usou Microsoft.KeyVault/Vaults/Write para criar cofre e microsoft.storage/storageAccounts/encryptionscopes/write para escopos, embora a perda permanente de apresentação mitigada do Azure. A extorsão seguida por equipes da Microsoft, exigindo resgate após a destruição dos dados.
Microsoft recomenda Aumentando as proteções de identidade da nuvem, a aplicação de MFA, monitorando contas de sincronização híbrida e implantando soluções de defensores abrangentes para detectar esses pivôs e escalações, enfatizando a necessidade de visibilidade unificada em ambientes híbridos para combater essas ameaças adaptativas.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!