El grupo de ransomware Storm-0501 ha evolucionado sus tácticas y ahora explota Microsoft Entra ID (antes Azure Active Directory) para llevar a cabo intrusiones sofisticadas en entornos híbridos. Microsoft ha advertido que este actor de amenazas ha encontrado una forma de abusar del proceso de sincronización de identidades entre Active Directory local y la nube, logrando tomar el control total de las organizaciones comprometidas.
¿Cómo funciona el ataque?
- Acceso inicial: Los atacantes ingresan a través de credenciales filtradas o vulnerabilidades en aplicaciones expuestas como Zoho, Citrix o ColdFusion.
- Compromiso del servidor Entra Connect: Una vez dentro, se dirigen al servidor encargado de sincronizar usuarios entre AD y Entra ID para robar credenciales críticas.
- Abuso de cuentas sincronizadas: Si encuentran cuentas con el rol de Global Admin sin MFA, modifican las contraseñas en el AD local y registran su propio método de autenticación multifactor.
- Federación maliciosa: Configuran un dominio federado bajo su control, lo que les permite generar tokens SAML falsos y acceder a la nube como cualquier usuario, incluso eludiendo la autenticación multifactor.
- Exfiltración y ransomware: Antes de cifrar archivos, exfiltran datos sensibles de OneDrive, SharePoint y máquinas virtuales en Azure. Luego, eliminan los respaldos y despliegan el ransomware de forma masiva.
Un ataque difícil de erradicar
Este método no solo compromete servidores locales, sino que asegura la persistencia en la nube, incluso después de cambiar las contraseñas. La manipulación de la federación y la sincronización convierte a Storm-0501 en una de las amenazas más sigilosas y duraderas contra entornos híbridos.
Microsoft destacó que estos ataques suelen planearse durante semanas o meses, con movimientos laterales discretos y múltiples puertas traseras, antes de lanzar la fase final de cifrado y extorsión. En algunos casos, el grupo incluso llega a contactar a las víctimas a través de Microsoft Teams usando cuentas ya comprometidas para presionar el pago del rescate.
Recomendaciones
- Habilita MFA obligatorio para todas las cuentas administrativas en Entra ID y AD local.
- Implementa autenticación resistente a phishing, como FIDO2 o Windows Hello for Business.
- Restringe el acceso al servidor Entra Connect a un grupo mínimo de administradores.
- Utiliza cuentas de servicio dedicadas con privilegios limitados; nunca uses cuentas globales.
- Rota las contraseñas de las cuentas sincronizadas críticas con frecuencia.
