Действующая с 2021 года финансово мотивированная группа киберпреступников усовершенствовала свое техническое мастерство, сосредоточившись на облачных системах, которые позволяют ей расширять операции по вымогательству за пределы локальной инфраструктуры, говорится в отчете Microsoft Threat Intelligence , опубликованном в среду.
Используя облачные возможности, Storm-0501 быстро извлек большие объёмы данных, уничтожив данные и резервные копии в средах жертв и зашифрованных системах. «Это контрастирует с действиями злоумышленников, которые, возможно, полагались исключительно на вредоносное ПО, развёрнутое на конечных точках», — сообщил в электронном письме Шеррод ДеГриппо, директор по стратегии анализа угроз Microsoft.
«Эта эволюция связана как с техническим сдвигом, так и с изменением стратегии воздействия», — сказал ДеГриппо. «Вместо того, чтобы просто шифровать файлы и требовать выкуп за расшифровку, Storm-0501 теперь извлекает конфиденциальные данные из облака, уничтожает резервные копии, а затем вымогает у жертв деньги, угрожая им безвозвратной потерей данных или раскрытием».
Storm-0501 атакует спонтанно, находя неуправляемые устройства и уязвимости безопасности в гибридных облачных средах. Эксплуатируя эти уязвимости, он может обходить обнаружение, повышать свои привилегии доступа и иногда перемещаться между учётными записями пользователей. По данным Microsoft, такой подход усиливает воздействие атак и повышает вероятность получения прибыли.
Недавно эта группа хакеров скомпрометировала крупное предприятие с несколькими дочерними компаниями, каждая из которых использовала отдельные домены Active Directory и отдельные экземпляры Microsoft Azure с различным набором средств безопасности, связанных с несколькими клиентами Entra ID. «Такое фрагментированное развертывание привело к пробелам в отслеживании всей среды», — говорится в отчёте исследователей.
Storm-0501 искал домены Active Directory, в которых не было включено обнаружение конечных точек. Закрепившись в среде Active Directory, он перешёл на другие домены и в конечном итоге скомпрометировал отдельный сервер Entra Connect, связанный с другим клиентом Entra ID и доменом Active Directory.
«У многих организаций есть локальные ресурсы, которые имеют чрезвычайно высокую критичность, часто слишком хрупкие или устаревшие для переноса в облако», — сказал ДеГриппо. «Именно это и создаёт столь серьёзную уязвимость в таких средах».
Разведывательная операция позволила группе злоумышленников получить подробную информацию об инструментах безопасности и инфраструктуре организации. Storm-0501 идентифицировал нечеловеческую личность, связанную с правами глобального администратора в этой учётной записи Entra ID, не прошедшей многофакторную аутентификацию.
Группа злоумышленников успешно сбросила локальный пароль пользователя, синхронизировала его с облачной идентификацией этого пользователя и зарегистрировала новый метод многофакторной аутентификации (MFA) под своим контролем. По словам исследователей, получив такой уровень доступа, Storm-0501 получил полный контроль над облачным доменом и использовал максимально возможные облачные привилегии для достижения своих целей.
В конечном итоге Storm-0501 захватил контроль над средой Azure организации-жертвы, обнаружил критически важные активы и, воспользовавшись ролью владельца Azure, получил доступ к ключам и украл их, что позволило ему извлечь данные. Microsoft заявила, что затем группа злоумышленников выполнила облачное шифрование и массово удалила ресурсы Azure, после чего начала вымогательство, связавшись с жертвами в Microsoft Teams, используя одну из ранее скомпрометированных учётных записей пользователей.
«Storm-0501 меняет тактику программ-вымогателей», — сказал ДеГриппо. «Гибридные и облачные среды особенно уязвимы. Storm-0501 использует пробелы в защите локальных и облачных сред, показывая, что организации с гибридной архитектурой подвергаются большему риску, если у них нет унифицированных механизмов мониторинга и контроля».
Используя облачные возможности, Storm-0501 быстро извлек большие объёмы данных, уничтожив данные и резервные копии в средах жертв и зашифрованных системах. «Это контрастирует с действиями злоумышленников, которые, возможно, полагались исключительно на вредоносное ПО, развёрнутое на конечных точках», — сообщил в электронном письме Шеррод ДеГриппо, директор по стратегии анализа угроз Microsoft.
«Эта эволюция связана как с техническим сдвигом, так и с изменением стратегии воздействия», — сказал ДеГриппо. «Вместо того, чтобы просто шифровать файлы и требовать выкуп за расшифровку, Storm-0501 теперь извлекает конфиденциальные данные из облака, уничтожает резервные копии, а затем вымогает у жертв деньги, угрожая им безвозвратной потерей данных или раскрытием».
Storm-0501 атакует спонтанно, находя неуправляемые устройства и уязвимости безопасности в гибридных облачных средах. Эксплуатируя эти уязвимости, он может обходить обнаружение, повышать свои привилегии доступа и иногда перемещаться между учётными записями пользователей. По данным Microsoft, такой подход усиливает воздействие атак и повышает вероятность получения прибыли.
Недавно эта группа хакеров скомпрометировала крупное предприятие с несколькими дочерними компаниями, каждая из которых использовала отдельные домены Active Directory и отдельные экземпляры Microsoft Azure с различным набором средств безопасности, связанных с несколькими клиентами Entra ID. «Такое фрагментированное развертывание привело к пробелам в отслеживании всей среды», — говорится в отчёте исследователей.
Storm-0501 искал домены Active Directory, в которых не было включено обнаружение конечных точек. Закрепившись в среде Active Directory, он перешёл на другие домены и в конечном итоге скомпрометировал отдельный сервер Entra Connect, связанный с другим клиентом Entra ID и доменом Active Directory.
«У многих организаций есть локальные ресурсы, которые имеют чрезвычайно высокую критичность, часто слишком хрупкие или устаревшие для переноса в облако», — сказал ДеГриппо. «Именно это и создаёт столь серьёзную уязвимость в таких средах».
Разведывательная операция позволила группе злоумышленников получить подробную информацию об инструментах безопасности и инфраструктуре организации. Storm-0501 идентифицировал нечеловеческую личность, связанную с правами глобального администратора в этой учётной записи Entra ID, не прошедшей многофакторную аутентификацию.
Группа злоумышленников успешно сбросила локальный пароль пользователя, синхронизировала его с облачной идентификацией этого пользователя и зарегистрировала новый метод многофакторной аутентификации (MFA) под своим контролем. По словам исследователей, получив такой уровень доступа, Storm-0501 получил полный контроль над облачным доменом и использовал максимально возможные облачные привилегии для достижения своих целей.
В конечном итоге Storm-0501 захватил контроль над средой Azure организации-жертвы, обнаружил критически важные активы и, воспользовавшись ролью владельца Azure, получил доступ к ключам и украл их, что позволило ему извлечь данные. Microsoft заявила, что затем группа злоумышленников выполнила облачное шифрование и массово удалила ресурсы Azure, после чего начала вымогательство, связавшись с жертвами в Microsoft Teams, используя одну из ранее скомпрометированных учётных записей пользователей.
«Storm-0501 меняет тактику программ-вымогателей», — сказал ДеГриппо. «Гибридные и облачные среды особенно уязвимы. Storm-0501 использует пробелы в защите локальных и облачных сред, показывая, что организации с гибридной архитектурой подвергаются большему риску, если у них нет унифицированных механизмов мониторинга и контроля».
