Microsoft ha identificato un nuovo attore di minaccia, noto come Storm-0501, che sta prendendo di mira settori cruciali negli Stati Uniti come il governo, la produzione, il trasporto e le forze dell'ordine attraverso attacchi ransomware. Questo gruppo di cybercriminali, attivo dal 2021, utilizza strumenti di uso comune e open-source per compromettere gli ambienti cloud ibridi, muovendosi lateralmente dalle infrastrutture locali a quelle cloud, portando a furti di dati, credenziali, manipolazioni e accessi persistenti tramite backdoor, culminando nella distribuzione di ransomware.
Storm-0501
Storm-0501, noto per essere un gruppo motivato finanziariamente, ha evoluto le sue tattiche nel tempo. Inizialmente, ha preso di mira enti educativi con il ransomware Sabbath (54bb47h) e successivamente ha operato come affiliato del modello ransomware-as-a-service (RaaS), distribuendo vari payload di ransomware come Hive, BlackCat (ALPHV), Hunters International, LockBit e Embargo.
Attacchi di Storm-0501
Un aspetto rilevante degli attacchi di Storm-0501 è l'uso di credenziali deboli e account sovra-privilegiati. Gli attacchi iniziano sfruttando vulnerabilità note in server esposti a Internet non patchati, come Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion 2016. Questi accessi permettono al gruppo di condurre operazioni di scoperta per individuare asset di alto valore, raccogliere informazioni di dominio e svolgere ricognizioni su Active Directory. Successivamente, utilizzano strumenti di monitoraggio e gestione remota come AnyDesk per mantenere la persistenza.
Durante l'accesso iniziale, Storm-0501 sfrutta i privilegi amministrativi sui dispositivi locali compromessi e cerca di ottenere accesso a ulteriori account nella rete. Utilizzano principalmente il modulo SecretsDump di Impacket per estrarre credenziali sulla rete e le sfruttano per accedere a più dispositivi, estrarre ulteriori credenziali e accedere a file sensibili.
Movimenti Laterali e Persistenza
Microsoft ha rilevato che Storm-0501 utilizza Cobalt Strike per muoversi lateralmente nella rete con le credenziali compromesse e inviare comandi successivi. L'esfiltrazione dei dati dall'ambiente locale viene effettuata utilizzando Rclone per trasferire i dati al servizio di archiviazione cloud pubblico MegaSync. Il gruppo ha anche creato accessi persistenti backdoor nell'ambiente cloud e ha distribuito ransomware nell'infrastruttura locale, rendendolo uno degli ultimi attori a prendere di mira configurazioni cloud ibride dopo Octo Tempest e Manatee Tempest.
Compromissione del Cloud
Il passaggio al cloud è realizzato attraverso un account utente compromesso di Microsoft Entra Connect Sync o tramite il dirottamento di una sessione cloud di un account utente locale con privilegi amministrativi nel cloud e autenticazione multi-fattore (MFA) disabilitata. L'attacco culmina con la distribuzione del ransomware Embargo, un ransomware basato su Rust scoperto per la prima volta a maggio 2024, attraverso l'organizzazione vittima una volta che il gruppo ha ottenuto sufficiente controllo sulla rete.
L'affiliazione RaaS di Embargo permette a gruppi come Storm-0501 di utilizzare la sua piattaforma per lanciare attacchi in cambio di una parte del riscatto. Questi affiliati impiegano tattiche di doppia estorsione, criptando i file delle vittime e minacciando di divulgare dati sensibili rubati a meno che non venga pagato un riscatto.