Η Microsoft προειδοποιεί ότι ο παράγοντας απειλών ransomware Storm-0501 άλλαξε πρόσφατα τακτική και τώρα στοχεύει υβριδικά περιβάλλοντα cloud, επεκτείνοντας τη στρατηγική της για να θέσει σε κίνδυνο όλα τα περιουσιακά στοιχεία των θυμάτων.
Ο ηθοποιός της απειλής εμφανίστηκε για πρώτη φορά το 2021 ως θυγατρική εταιρεία ransomware για τη λειτουργία Sabbath ransomware. Αργότερα άρχισαν να αναπτύσσουν κακόβουλο λογισμικό κρυπτογράφησης αρχείων από συμμορίες Hive, BlackCat, LockBit και Hunters International. Πρόσφατα, παρατηρήθηκε ότι αναπτύσσουν το Embargo ransomware.
Οι πρόσφατες επιθέσεις του Storm-0501 είχαν στόχο νοσοκομεία, κυβερνητικούς, κατασκευαστικούς και μεταφορικούς οργανισμούς και υπηρεσίες επιβολής του νόμου στις Ηνωμένες Πολιτείες.
Ροή επίθεσης Storm-0501
Ο εισβολέας αποκτά πρόσβαση σε περιβάλλοντα cloud εκμεταλλευόμενος αδύναμα διαπιστευτήρια και εκμεταλλευόμενος προνομιούχους λογαριασμούς, με στόχο την κλοπή δεδομένων και την εκτέλεση ωφέλιμου φορτίου ransomware.
Η Microsoft εξηγεί ότι το Storm-0501 αποκτά αρχική πρόσβαση στο δίκτυο με κλεμμένα ή αγορασμένα διαπιστευτήρια ή με εκμετάλλευση γνωστών τρωτών σημείων.
Μερικά από τα ελαττώματα που χρησιμοποιούνται στις πρόσφατες επιθέσεις είναι CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler) και πιθανώς CVE-2023-29300 ή CVE-2023-38203 (ColdFusion).
Ο αντίπαλος κινείται πλευρικά χρησιμοποιώντας πλαίσια όπως το Impacket και το Cobalt Strike, κλέβει δεδομένα μέσω ενός προσαρμοσμένου δυαδικού αρχείου Rclone που μετονομάστηκε έτσι ώστε να μιμείται ένα εργαλείο των Windows και απενεργοποιεί τους πράκτορες ασφαλείας με cmdlet PowerShell.
Αξιοποιώντας τα κλεμμένα διαπιστευτήρια του Microsoft Entra ID (πρώην Azure AD), το Storm-0501 μετακινείται από περιβάλλοντα εσωτερικής εγκατάστασης σε περιβάλλοντα cloud, διακυβεύοντας λογαριασμούς συγχρονισμού και παραβιάζοντας τις περιόδους λειτουργίας για επιμονή.
Οι λογαριασμοί Microsoft Entra Connect Sync είναι ζωτικής σημασίας για το συγχρονισμό δεδομένων μεταξύ της εσωτερικής υπηρεσίας Active Directory (AD) και του Microsoft Entra ID που βασίζεται σε cloud και συνήθως επιτρέπουν ένα ευρύ φάσμα ευαίσθητων ενεργειών.
Εάν οι εισβολείς διαθέτουν τα διαπιστευτήρια για τον λογαριασμό συγχρονισμού καταλόγου, μπορούν να χρησιμοποιήσουν εξειδικευμένα εργαλεία όπως το AADInternals για να αλλάξουν τους κωδικούς πρόσβασης στο cloud, παρακάμπτοντας έτσι πρόσθετες προστασίες.
Εάν ένας διαχειριστής τομέα ή άλλος λογαριασμός εσωτερικής εγκατάστασης με υψηλά προνόμια υπάρχει επίσης στο περιβάλλον cloud και δεν διαθέτει κατάλληλες προστασίες (π.χ. έλεγχος ταυτότητας πολλαπλών παραγόντων), το Storm-0501 μπορεί να χρησιμοποιήσει τα ίδια διαπιστευτήρια για να αποκτήσει ξανά πρόσβαση στο cloud.
Αφού αποκτήσει πρόσβαση στην υποδομή cloud, ο παράγοντας απειλής εγκαθιστά μια μόνιμη κερκόπορτα δημιουργώντας έναν νέο ενοποιημένο τομέα στον ενοικιαστή Microsoft Entra, ο οποίος του επιτρέπει να ελέγχουν την ταυτότητα ως οποιονδήποτε χρήστη για τον οποίο η ιδιότητα “Immutableid” είναι γνωστή ή ορίζεται από αυτόν.
Στο τελευταίο βήμα, οι επιτιθέμενοι είτε θα αναπτύξουν ransomware Embargo στα περιβάλλοντα εσωτερικής εγκατάστασης και στο cloud του θύματος είτε θα διατηρήσουν την πρόσβαση σε κερκόπορτα για αργότερα.
“Μόλις ο παράγοντας απειλής πέτυχε επαρκή έλεγχο στο δίκτυο, εξήγαγε με επιτυχία ευαίσθητα αρχεία και κατάφερε να μετακινηθεί πλευρικά στο περιβάλλον του cloud, ο παράγοντας απειλής ανέπτυξε στη συνέχεια το ransomware Embargo σε ολόκληρο τον οργανισμό”. Microsoft
“Παρατηρήσαμε ότι ο παράγοντας της απειλής δεν κατέφευγε πάντα στη διανομή ransomware και σε ορισμένες περιπτώσεις διατήρησε μόνο την πρόσβαση στο δίκτυο backdoor”, δήλωσε η Microsoft.
Το ωφέλιμο φορτίο ransomware αναπτύσσεται χρησιμοποιώντας παραβιασμένους λογαριασμούς όπως ο Διαχειριστής τομέα, μέσω προγραμματισμένων εργασιών ή Αντικειμένων πολιτικής ομάδας (GPO) για την κρυπτογράφηση αρχείων σε όλες τις συσκευές του οργανισμού.
Πηγή: Microsoft
Δραστηριότητα εμπάργκο ransomware
Η ομάδα απειλών Embargo χρησιμοποιεί κακόβουλο λογισμικό που βασίζεται στο Rust για να εκτελέσει τη λειτουργία ransomware-as-a-service (RaaS) που δέχεται συνδεδεμένες εταιρείες που παραβιάζουν εταιρείες για να αναπτύξουν το ωφέλιμο φορτίο και να μοιραστούν ένα μέρος του κέρδους με τους προγραμματιστές.
Τον Αύγουστο του 2024, μια θυγατρική εταιρεία ransomware του Embargo χτύπησε το American Radio Relay League (ARRL) και έλαβε 1 εκατομμύριο δολάρια σε αντάλλαγμα για έναν λειτουργικό αποκρυπτογραφητή.
Νωρίτερα φέτος, τον Μάιο, μια θυγατρική εταιρεία του Εμπάργκο παραβίασε την Firstmac Limited, μια από τις μεγαλύτερες εταιρείες στεγαστικών δανείων και διαχείρισης επενδύσεων της Αυστραλίας, και διέρρευσε 500 GB κλεμμένων ευαίσθητων δεδομένων όταν συμπληρώθηκε η προθεσμία για τη διαπραγμάτευση λύσης.
VIA: bleepingcomputer.com
