Se ha observado que el actor de amenazas motivado financieramente conocido como Storm-0501 refina sus tácticas para realizar ataques de exfiltración y extorsión de datos dirigidos a entornos en la nube.
«A diferencia del ransomware local tradicional, donde el actor de amenazas generalmente implementa malware para cifrar archivos críticos en los puntos finales dentro de la red comprometida y luego negocia una clave de descifrado, el ransomware basado en la nube introduce un cambio fundamental«, dijo el equipo de Inteligencia de Amenazas de Microsoft en un informe compartido con The Hacker News.
«Aprovechando las capacidades nativas de la nube, Storm-0501 filtra rápidamente grandes volúmenes de datos, destruye datos y copias de seguridad dentro del entorno de la víctima y exige un rescate, todo sin depender de la implementación tradicional de malware«.
A continuación, compartimos IoC para ser agregados a las herramientas de seguridad perimetral.
EL ATAQUE
Storm-0501 identifica una identidad no sincronizada por humanos con un rol de administrador global en Microsoft Entra ID en ese inquilino y que carecía de protecciones de autenticación multifactor (MFA).
Posteriormente, esto abrió la puerta a un escenario en el que los atacantes restablecieron la contraseña local del usuario, lo que provocó que se sincronizara con la identidad en la nube de ese usuario mediante el servicio Entra Connect Sync.
Armados con la cuenta de administrador global en peligro, se ha descubierto que los intrusos digitales acceden al Portal de Azure, registrando un inquilino de Entra ID propiedad de un actor de amenazas como un dominio federado de confianza para crear una puerta trasera y, a continuación, elevar su acceso a los recursos críticos de Azure, antes de preparar el escenario para la exfiltración y extorsión de datos.
