Microsoft avertit que l’acteur de la menace ransomware Storm-0501 a récemment changé de tactique et cible désormais les environnements de cloud hybride, élargissant sa stratégie pour compromettre tous les actifs des victimes.
L’auteur de la menace est apparu pour la première fois en 2021 en tant qu’affilié de ransomware pour l’opération de ransomware Sabbath. Plus tard, ils ont commencé à déployer des logiciels malveillants de cryptage de fichiers provenant des gangs Hive, BlackCat, LockBit et Hunters International. Récemment, ils ont été observés pour déployer le ransomware Embargo.
Les récentes attaques de Storm-0501 ont ciblé des hôpitaux, des organisations gouvernementales, manufacturières et de transport, ainsi que des organismes d’application de la loi aux États-Unis.
Tempête-0501 flux d’attaque
L’attaquant accède aux environnements cloud en exploitant des informations d’identification faibles et en tirant parti des comptes privilégiés, dans le but de voler des données et d’exécuter une charge utile de ransomware.
Microsoft explique que le Storm-0501 obtient un accès initial au réseau avec des informations d’identification volées ou achetées, ou en exploitant des vulnérabilités connues.
Certaines des failles utilisées dans les attaques récentes sont CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler) et éventuellement CVE-2023-29300 ou CVE-2023 – 38203 (ColdFusion 2016).
L’adversaire se déplace latéralement à l’aide de frameworks tels que Impacket et Cobalt Strike, vole des données via un binaire Rclone personnalisé renommé pour imiter un outil Windows et désactive les agents de sécurité avec des applets de commande PowerShell.
En exploitant les informations d’identification Microsoft Entra ID (anciennement Azure AD) volées, Storm-0501 passe des environnements sur site aux environnements cloud, compromettant les comptes de synchronisation et détournant les sessions pour la persistance.
Les comptes de synchronisation Microsoft Entra Connect sont essentiels pour synchroniser les données entre Active Directory (AD) local et l’ID Microsoft Entra basé sur le cloud et permettent généralement un large éventail d’actions sensibles.
Si les attaquants possèdent les informations d’identification du Compte de synchronisation d’annuaire, ils peuvent utiliser des outils spécialisés tels que AADInternals pour modifier les mots de passe du cloud, contournant ainsi des protections supplémentaires.
Si un administrateur de domaine ou un autre compte local à privilèges élevés existe également dans l’environnement cloud et ne dispose pas des protections appropriées( par exemple, l’authentification multifacteur), Storm-0501 peut utiliser les mêmes informations d’identification pour accéder à nouveau au cloud.
Après avoir eu accès à l’infrastructure cloud, l’auteur de la menace plante une porte dérobée persistante en créant un nouveau domaine fédéré au sein du locataire Microsoft Entra, ce qui lui permet de s’authentifier en tant qu’utilisateur pour lequel la propriété « Immutableid » est connue ou définie par lui.
Dans la dernière étape, les attaquants déploieront un ransomware Embargo sur les environnements sur site et cloud de la victime ou conserveront un accès par porte dérobée ultérieurement.
« Une fois que l’auteur de la menace a obtenu un contrôle suffisant sur le réseau, a réussi à extraire les fichiers sensibles et a réussi à se déplacer latéralement vers l’environnement cloud, l’auteur de la menace a ensuite déployé le ransomware Embargo dans toute l’organisation » Microsoft
« Nous avons observé que l’auteur de la menace n’avait pas toujours recours à la distribution de ransomwares et, dans certains cas, ne maintenait qu’un accès par porte dérobée au réseau », a déclaré Microsoft.
La charge utile du ransomware est déployée à l’aide de comptes compromis tels que l’administrateur de domaine, via des tâches planifiées ou des Objets de stratégie de groupe (GPO) pour chiffrer les fichiers sur les appareils de l’organisation.
Embargo sur l’activité des ransomwares
Le groupe de menaces Embargo utilise des logiciels malveillants basés sur Rust pour exécuter son opération de ransomware en tant que service (RaaS) qui accepte que les affiliés qui enfreignent les entreprises déploient la charge utile et partagent une partie des bénéfices avec les développeurs.
En août 2024, une filiale de ransomware sous Embargo a frappé l’American Radio Relay League (ARRL) et a reçu 1 million de dollars en échange d’un décrypteur fonctionnel.
Plus tôt cette année, en mai, une filiale de l’embargo a violé Firstmac Limited, l’une des plus grandes sociétés australiennes de prêt hypothécaire et de gestion de placements, et a divulgué 500 Go de données sensibles volées lorsque la date limite pour négocier une solution a été atteinte.