El panorama del ransomware ha tomado un giro siniestro y los ciberdelincuentes están evolucionando a un ritmo alarmante. Un grupo de actores de amenazas, conocido como Storm-0501, ha perfeccionado una nueva táctica que va más allá de la simple encriptación. Ahora, su objetivo principal es atacar entornos en la nube, específicamente los de Microsoft Azure, para destruir las copias de seguridad de las víctimas, lo que hace casi imposible la recuperación de la información.
Detalles de la cadena de ataque: Más allá del malware
El modus operandi de Storm-0501 es sofisticado y no se basa en el ransomware tradicional. La cadena de ataque, documentada por Microsoft Threat Intelligence, es un ejemplo de cómo los atacantes aprovechan las propias herramientas y configuraciones de la nube para lograr sus objetivos.
- Compromiso inicial: El ataque comenzó con la infiltración en la red de una gran empresa con múltiples subsidiarias. Los atacantes utilizaron un método de “pivote” del entorno local (on-premises) hacia la nube.
- Escalada de privilegios: Para lograr este pivote, comprometieron un servidor Entra Connect Sync. Esto les permitió realizar un ataque DCSync, que consiste en hacerse pasar por un controlador de dominio para obtener hashes de contraseñas de cuentas privilegiadas de forma remota.
- Elusión de defensas: Los atacantes identificaron una identidad no humana (un servicio o aplicación) que estaba sincronizada y tenía privilegios de Administrador Global. Esto les permitió evadir las políticas de acceso condicional y la autenticación multifactor (MFA) que estaban en vigor, un recordatorio crítico de que el MFA no es una solución mágica si las cuentas de servicio están mal configuradas.
- Exfiltración y destrucción: Una vez con el control, Storm-0501 utilizó una herramienta nativa de Azure, la línea de comandos AzCopy, para exfiltrar grandes volúmenes de datos. Inmediatamente después, iniciaron una eliminación masiva de recursos de Azure. Para los datos protegidos por políticas de inmutabilidad, el grupo recurrió a la encriptación como último recurso para inutilizarlos.
- Comunicación inusual: Lo más notable es que, tras la destrucción, el grupo contactó a la víctima no solo por métodos tradicionales, sino también a través de una herramienta corporativa como Microsoft Teams para demandar el rescate.
Impacto y lecciones aprendidas
Este tipo de ataques demuestra un cambio de paradigma en el mundo del ransomware. Los atacantes ya no solo buscan la encriptación, sino que ahora se centran en la destrucción completa de la capacidad de recuperación.
La lección es clara:
- Verifica tus copias de seguridad: No asumas que tus backups en la nube están seguros. Asegúrate de que las políticas de inmutabilidad sean robustas y que las cuentas con acceso a las copias de seguridad tengan los privilegios mínimos necesarios.
- Fortalece tu seguridad en la nube: La seguridad en la nube es un modelo de responsabilidad compartida. Las organizaciones deben auditar sus configuraciones, especialmente las de las cuentas con privilegios elevados, y monitorear la actividad de las identidades no humanas.
- Adopta un enfoque de “Zero Trust”: Asume que cualquier identidad o dispositivo podría estar comprometido. Limita el movimiento lateral y reduce los privilegios para minimizar el daño en caso de un ataque.
Recomendaciones
- No esperes. Designa un equipo o un proceso para aplicar parches de seguridad críticos tan pronto como sean liberados.
- Adopta el principio del menor privilegio. Revisa regularmente quién tiene acceso de administrador en tu entorno en la nube y elimina cualquier privilegio que no sea estrictamente necesario.
- Utiliza soluciones que permitan que las copias de seguridad no puedan ser modificadas ni eliminadas, incluso por un administrador, durante un período de tiempo determinado.
