Microsoft identificeert Storm-0501 als grote bedreiging bij hybride cloud-ransomware-aanvallen

De dreigingsactor die bekend staat als Storm-0501 heeft zich in de VS gericht op de sectoren overheid, productie, transport en wetshandhaving om ransomware-aanvallen uit te voeren.

De meerfasige aanvalscampagne is ontworpen om hybride cloudomgevingen in gevaar te brengen en zijdelingse bewegingen van de lokale naar de cloudomgeving uit te voeren, wat uiteindelijk resulteert in data-exfiltratie, diefstal van inloggegevens, geknoei, aanhoudende achterdeurtoegang en de inzet van ransomware, aldus Microsoft.

“Storm-0501 is een financieel gemotiveerde cybercriminele groep die commodity- en open-sourcetools gebruikt om ransomware-operaties uit te voeren”, aldus het threat intelligence-team van de technologiegigant.

De bedreigingsacteur is actief sinds 2021 en heeft een geschiedenis van het aanvallen van onderwijsinstellingen met Sabbath (54bb47h)-ransomware voordat hij evolueerde naar een ransomware-as-a-service (RaaS)-partner die door de jaren heen verschillende ransomware-payloads leverde, waaronder Hive, BlackCat (ALPHV) , Hunters International, LockBit en Embargo-ransomware.

Een opmerkelijk aspect van de aanvallen van Storm-0501 is het gebruik van zwakke inloggegevens en accounts met te veel bevoegdheden om van de lokale organisatie naar de cloudinfrastructuur over te stappen.

Andere initiële toegangsmethoden zijn onder meer het gebruik van een voet aan de grond die al is gevestigd door toegangsmakelaars zoals Storm-0249 en Storm-0900, of het misbruiken van verschillende bekende kwetsbaarheden voor het uitvoeren van externe code in niet-gepatchte internetgerichte servers zoals Zoho ManageEngine, Citrix NetScaler en Adobe ColdFusion 2016.

De toegang die wordt geboden door een van de bovengenoemde benaderingen maakt de weg vrij voor uitgebreide ontdekkingsoperaties om waardevolle activa te bepalen, domeininformatie te verzamelen en Active Directory-verkenningen uit te voeren. Dit wordt gevolgd door de inzet van tools voor monitoring en beheer op afstand (RMM’s) zoals AnyDesk om de persistentie te behouden.

“De bedreigingsacteur maakte misbruik van beheerdersrechten op de lokale apparaten die hij tijdens de eerste toegang in gevaar bracht en probeerde op verschillende manieren toegang te krijgen tot meer accounts binnen het netwerk”, aldus Microsoft.

“De bedreigingsacteur maakte voornamelijk gebruik van de SecretsDump-module van Impacket, die inloggegevens via het netwerk ophaalt, en deze op een groot aantal apparaten gebruikt om inloggegevens te verkrijgen.”

De gecompromitteerde inloggegevens worden vervolgens gebruikt om toegang te krijgen tot nog meer apparaten en extra inloggegevens te extraheren, waarbij de bedreigingsactor tegelijkertijd toegang krijgt tot gevoelige bestanden om KeePass-geheimen te extraheren en brute-force-aanvallen uit te voeren om inloggegevens voor specifieke accounts te verkrijgen.

Hybride cloud-ransomware-aanvallen

Microsoft zei dat het Storm-0501 had gedetecteerd die gebruik maakte van Cobalt Strike om lateraal over het netwerk te bewegen met behulp van de gecompromitteerde inloggegevens en vervolgopdrachten te verzenden. Gegevensexfiltratie uit de lokale omgeving wordt bereikt door Rclone te gebruiken om de gegevens over te dragen naar de openbare cloudopslagdienst MegaSync.

Er is ook waargenomen dat de bedreigingsacteur persistente achterdeurtoegang tot de cloudomgeving creëert en ransomware op locatie implementeert, waardoor het na Octo Tempest en Manatee Tempest de nieuwste bedreigingsacteur is die zich richt op hybride cloudopstellingen.

“De bedreigingsacteur gebruikte de inloggegevens, met name Microsoft Entra ID (voorheen Azure AD), die eerder tijdens de aanval waren gestolen, om lateraal van de on-premise naar de cloudomgeving te gaan en permanente toegang tot het doelnetwerk tot stand te brengen via een achterdeur. ‘ zei Redmond.

De overstap naar de cloud zou worden bereikt via een gecompromitteerd Microsoft Entra Connect Sync-gebruikersaccount of via het kapen van een on-premises gebruikersaccount in de cloudsessie met een respectievelijk beheerdersaccount in de cloud waarbij multi-factor authenticatie (MFA) is uitgeschakeld .

De aanval culmineert in de inzet van de Embargo-ransomware in de gehele organisatie van het slachtoffer, nadat voldoende controle over het netwerk is verkregen, interessante bestanden worden geëxfiltreerd en zijwaarts naar de cloud worden verplaatst. Embargo is een op Rust gebaseerde ransomware die voor het eerst werd ontdekt in mei 2024.

“De ransomwaregroep achter Embargo opereert volgens het RaaS-model en stelt aangesloten bedrijven als Storm-0501 in staat hun platform te gebruiken om aanvallen uit te voeren in ruil voor een deel van het losgeld”, aldus Microsoft.

“Embargo-filialen maken gebruik van dubbele afpersingstactieken, waarbij ze eerst de bestanden van een slachtoffer versleutelen en dreigen gestolen gevoelige gegevens te lekken, tenzij er losgeld wordt betaald.”

De onthulling komt omdat de DragonForce-ransomwaregroep zich richt op bedrijven in de productie-, vastgoed- en transportsector met behulp van een variant van de gelekte LockBit3.0-builder en een aangepaste versie van Conti.

De aanvallen worden gekenmerkt door het gebruik van de SystemBC-achterdeur voor doorzettingsvermogen, Mimikatz en Cobalt Strike voor het verzamelen van inloggegevens, en Cobalt Strike voor zijwaartse beweging. De VS zijn verantwoordelijk voor ruim 50% van het totale aantal slachtoffers, gevolgd door Groot-Brittannië en Australië.

“De groep maakt gebruik van dubbele afpersingstactieken, versleutelt gegevens en dreigt met lekken tenzij er losgeld wordt betaald”, aldus Group-IB met hoofdkantoor in Singapore. “Het partnerprogramma, gelanceerd op 26 juni 2024, biedt 80% van het losgeld aan aangeslotenen, samen met tools voor aanvalsbeheer en automatisering.”

Thijs Van der Does