Microsoft ha emitido una advertencia sobre el grupo de amenazas Storm-0501, que ha cambiado sus tácticas y ahora apunta a entornos de nube híbrida. El objetivo de este cambio estratégico es comprometer todos los activos de las víctimas, tanto en infraestructuras locales como en la nube.
Storm-0501, que surgió en 2021 como afiliado del ransomware Sabbath, ha desplegado malware para cifrar archivos de grupos como Hive, BlackCat, LockBit y Hunters International. Recientemente, se ha observado que utilizan el ransomware Embargo, dirigiéndose a sectores críticos como hospitales, agencias gubernamentales, fábricas, organizaciones de transporte y fuerzas del orden en los Estados Unidos.
Tácticas de Acceso y Movimiento Lateral
El grupo obtiene acceso a entornos de nube explotando credenciales débiles o cuentas con privilegios, lo que les permite robar datos y desplegar cargas de ransomware. Según Microsoft, Storm-0501 accede inicialmente a las redes utilizando credenciales robadas o compradas, o explotando vulnerabilidades conocidas, como:
- CVE-2022-47966 (Zoho ManageEngine)
- CVE-2023-4966 (Citrix NetScaler)
- CVE-2023-29300 o CVE-2023-38203 (ColdFusion 2016)
Después de infiltrarse, los atacantes se mueven lateralmente dentro de la red utilizando herramientas como Impacket y Cobalt Strike, y roban datos mediante un binario personalizado de Rclone renombrado para parecer una herramienta de Windows. Además, desactivan agentes de seguridad utilizando cmdlets de PowerShell.
Compromiso de Entornos en la Nube
El grupo utiliza credenciales robadas de Microsoft Entra ID (anteriormente Azure AD) para pasar de entornos locales a la nube, comprometiendo cuentas de sincronización y secuestrando sesiones para mantener el acceso. Las cuentas de Microsoft Entra Connect Sync son fundamentales para la sincronización de datos entre Active Directory local y Microsoft Entra ID, permitiendo una serie de acciones sensibles.
Si los atacantes obtienen las credenciales de la cuenta de sincronización de directorios, pueden usar herramientas especializadas como AADInternals para cambiar contraseñas en la nube, evitando así protecciones adicionales.
Además, si una cuenta de administrador de dominio u otra cuenta de alto privilegio local también existe en el entorno de la nube sin las protecciones adecuadas (por ejemplo, autenticación multifactor), los atacantes pueden reutilizar las mismas credenciales para acceder nuevamente a la nube.
Ransomware Embargo
Una vez que Storm-0501 obtiene acceso a la infraestructura en la nube, establecen una puerta trasera persistente creando un nuevo dominio federado dentro del inquilino de Microsoft Entra. Esto les permite autenticarse como cualquier usuario cuyo propiedad ImmutableID sea conocida o establecida por ellos.
En la fase final del ataque, los atacantes despliegan el ransomware Embargo en los entornos locales y en la nube de la víctima, o mantienen el acceso para ataques futuros. El ransomware se despliega utilizando cuentas comprometidas como Administrador de Dominio a través de tareas programadas o Objetos de Directiva de Grupo (GPOs), cifrando archivos en los dispositivos de la organización.
Microsoft señala que no en todos los casos los atacantes distribuyen el ransomware; en algunos casos, simplemente mantienen el acceso para futuros ataques.
Operaciones de Ransomware-as-a-Service (RaaS)
El grupo detrás de Embargo opera utilizando malware basado en Rust, bajo un modelo de Ransomware-as-a-Service (RaaS). En este modelo, los afiliados que logran penetrar las empresas despliegan el ransomware y comparten las ganancias con los desarrolladores.
Un afiliado de Embargo atacó en agosto de 2024 a la American Radio Relay League (ARRL), recibiendo $1 millón a cambio de un descifrador funcional. Además, en mayo de 2024, otro afiliado comprometió a Firstmac Limited, una de las firmas de gestión de inversiones más grandes de Australia, filtrando 500 GB de datos sensibles tras no llegar a un acuerdo con la empresa.
Este cambio en las tácticas de Storm-0501 resalta la creciente amenaza que representan los ataques de ransomware a entornos híbridos y la importancia de proteger tanto las infraestructuras locales como las basadas en la nube.