Gli esperti del Microsoft Threat Intelligence hanno descritto l’evoluzione delle tecniche utilizzate dal gruppo Storm-0501 per installare i ransomware sui computer delle aziende. I cybercriminali sono passati dalla versione on-premises del malware a quella basata sul cloud per rubare più dati e aumentare l’efficacia degli attacchi, oltre che i guadagni illeciti.
Dal singolo computer all’intero cloud
Le tecniche utilizzate dal gruppo Storm-0501 durante gli attacchi contro gli endpoint (singoli computer) è stata descritta da Microsoft a fine settembre 2024. L’accesso iniziale viene ottenuto con l’aiuto di alcuni “colleghi” sfruttando credenziali rubate o vulnerabilità software. Usando vari tool riescono ad ottenere i privilegi di amministratore del dominio Active Directory.
Nel caso analizzato da Microsoft (un’azienda con diverse sussidiarie), solo un dominio era protetto con Defender for Endpoint. I cybercriminali hanno quindi cercato i dispositivi non protetti, tra cui un server Entra Connect Sync. Successivamente hanno estratto le credenziali impersonando un controller di dominio (attacco DCSync) e individuato utenti, ruoli e risorse Azure con il tool AzureHound.
Non riuscendo ad accedere all’account amministratore (era attivata l’autenticazione multi-fattore), i cybercriminali sono passati ad un’altra istanza Azure della stessa azienda, sulla quale hanno trovato un account amministratore senza MFA. Hanno quindi preso il controllo dell’intero cloud Azure cambiando la password.
Il gruppo Storm-0501 ha installato una backdoor per stabilire la persistenza, elevato i privilegi per accedere a tutte le risorse, esfiltrato i dati dagli account Azure Storage, cancellato tutti i backup, cifrato tutti i dati con il ransomware e chiesto il pagamento di un riscatto tramite Teams usando uno degli account compromessi.
Microsoft ha elencato una serie di misure per proteggere meglio le risorse e le identità cloud, oltre a quelle om-premises, in modo da limitare i rischi di questo tipo di attacco.
