Se ha observado que el actor de amenazas con motivaciones económicas, conocido como Storm-0501, está perfeccionando sus tácticas para llevar a cabo ataques de exfiltración de datos y extorsión dirigidos a entornos en la nube.
“A diferencia del ransomware tradicional, donde el actor de amenazas suele implementar malware para cifrar archivos críticos en los endpoints de la red comprometida y luego negocia una clave de descifrado, el ransomware basado en la nube introduce un cambio fundamental”, declaró el equipo de Inteligencia de Amenazas de Microsoft en un informe.
“Aprovechando las capacidades nativas de la nube, Storm-0501 exfiltra rápidamente grandes volúmenes de datos, destruye datos y copias de seguridad en el entorno de la víctima y exige un rescate, todo ello sin depender de la implementación tradicional de malware”.
Microsoft documentó por primera vez Storm-0501 hace casi un año, detallando sus ataques de ransomware en la nube híbrida dirigidos a los sectores gubernamental, manufacturero, de transporte y policial en EE.UU. Los actores de amenazas pasaron del entorno local a la nube para la posterior exfiltración de datos, robo de credenciales e implementación de ransomware.
Activo desde 2021, este grupo se ha convertido en una filial de ransomware como servicio (RaaS) que ha distribuido diversas cargas útiles de ransomware a lo largo de los años, como Sabbath, Hive, BlackCat (ALPHV), Hunters International, LockBit yEmbargo.
“Storm-0501 ha seguido demostrando su capacidad para moverse entre entornos locales y en la nube, lo que ejemplifica cómo los actores de amenazas se adaptan a medida que crece la adopción de la nube híbrida”, declaró la compañía. Buscan dispositivos no administrados y vulnerabilidades de seguridad en entornos de nube híbrida para evadir la detección y escalar privilegios en la nube. En algunos casos, atraviesan inquilinos en configuraciones multiinquilino para lograr sus objetivos.
Las cadenas de ataque típicas implican que el actor de la amenaza abuse de su acceso inicial para lograr la escalada de privilegios a un administrador de dominio, seguido de un movimiento lateral local y pasos de reconocimiento que permiten a los atacantes vulnerar el entorno de nube del objetivo, iniciando así una secuencia de varias etapas que incluye persistencia, escalada de privilegios, exfiltración de datos, cifrado y extorsión.
El acceso inicial, según Microsoft, se logra mediante intrusiones facilitadas por intermediarios de acceso como Storm-0249 y Storm-0900, que aprovechan credenciales robadas y comprometidas para iniciar sesión en el sistema objetivo o explotan diversas vulnerabilidades conocidas de ejecución remota de código en servidores públicos sin parchear.
En una campaña reciente dirigida a una gran empresa anónima con múltiples filiales, se dice que Storm-0501 realizó un reconocimiento antes de moverse lateralmente por la red utilizando Evil-WinRM. Los atacantes también llevaron a cabo lo que se conoce como un ataque DCSync para extraer credenciales de Active Directory simulando el comportamiento de un controlador de dominio.
“Aprovechando su presencia en el entorno de Active Directory, se desplazaron entre dominios de Active Directory y finalmente se movieron lateralmente para comprometer un segundo servidor Entra Connect asociado con un inquilino de Entra ID y un dominio de Active Directory diferentes”, declaró Microsoft.
El actor de amenazas extrajo la cuenta de sincronización de directorios para repetir el proceso de reconocimiento, esta vez dirigido a las identidades y recursos del segundo inquilino.
Estos esfuerzos permitieron a Storm-0501 identificar una identidad sincronizada no humana con un rol de administrador global en Microsoft Entra ID en ese inquilino, que carecía de protección de autenticación multifactor (MFA). Esto dio lugar a un escenario en el que los atacantes restablecieron la contraseña local del usuario, lo que provocó que se sincronizara con su identidad en la nube mediante el servicio Entra Connect Sync.
Con la cuenta de administrador global comprometida, se descubrió que los intrusos digitales accedieron al portal de Azure, registrando un inquilino de Entra ID propiedad de un actor de amenazas como un dominio federado de confianza para crear una puerta trasera y, posteriormente, elevar su acceso a recursos críticos de Azure, antes de preparar el terreno para la exfiltración y extorsión de datos.
Tras completar la fase de exfiltración, Storm-0501 inició la eliminación masiva de los recursos de Azure que contenían los datos de la organización víctima, impidiéndole tomar medidas de remediación y mitigación mediante la restauración de los datos, declaró Microsoft.
Tras exfiltrar y destruir con éxito los datos dentro del entorno de Azure, el atacante inició la fase de extorsión, donde contactó a las víctimas mediante Microsoft Teams, utilizando a uno de los usuarios previamente comprometidos, exigiendo un rescate.
La compañía afirmó haber implementado un cambio en Microsoft Entra ID que impide que los atacantes abusen de las cuentas de sincronización de directorios para escalar privilegios. También ha publicado actualizaciones de Microsoft Entra Connect (versión 2.5.3.0) para admitir la autenticación moderna y permitir a los clientes configurar la autenticación basada en aplicaciones para una mayor seguridad.
También es importante habilitar el Módulo de Plataforma Segura (TPM) en el servidor de sincronización de Entra Connect para almacenar de forma segura las credenciales confidenciales y las claves criptográficas, mitigando así las técnicas de extracción de credenciales de Storm-0501, añadió el gigante tecnológico.
Fuente: Segu Info
