Ransomware conocido ha intensificado sus ataques a entornos de nube
El gigante tecnológico Microsoft ha advertido que un actor de amenazas, conocido como Storm-0501, ha cambiado recientemente de táctica y ahora apunta a entornos de nube híbrida, ampliando su estrategia para comprometer la totalidad de los activos de las víctimas.
Este actor de amenazas apareció por primera vez en el año 2021, como un afiliado de ransomware para la operación maliciosa “Sabbath”. Luego, comenzaron a implementar malware de cifrado de archivos de varias pandillas de ransomware, por lo que se ha observado que están implementando un ransomware de un grupo llamado Embargo.
Los recientes ataques de los hackers maliciosos estuvieron dirigidos a centros de salud, instituciones gubernamentales, organizaciones de fabricación, transporte y agencias de seguridad en los Estados Unidos y en otros países.
El atacante ha obtenido acceso a entornos de nube, explotando credenciales débiles y aprovechando cuentas con privilegios. Esto con el objetivo de robar datos y ejecutar una carga útil del ransomware. Microsoft ha explicado que Storm-0501 obtiene acceso inicial a esta red con credenciales robadas o compradas, además de explotar vulnerabilidades conocidas.
Este adversario se mueve de forma lateral, utilizando marcos conocidos para robar datos a través de un binario Rclone personalizado. Además, ha renombrado dicho binario para imitar una herramienta de Windows, deshabilitando agentes de seguridad como los cmdlets del PowerShell.
Al aprovechar las credenciales robadas de Microsoft Entra ID, anteriormente Azure AD, el atacante se mueve de entornos locales a entornos en la nube, comprometiendo las cuentas de sincronización y secuestrando sesiones para su persistencia en dichos entornos.
Ante esto, las cuentas de sincronización de Microsoft Entra Connect son vitales para la sincronización de datos entre el Active Directory (AD) local y Microsoft Entra ID, basado en la nube. Por lo general, permiten una amplia gama de acciones confidenciales.
Si los hackers maliciosos llegan a poseer alguna de estas credenciales de la cuenta de sincronización de directorios, pueden utilizar herramientas especializadas como AADInternals, con el objetivo de cambiar las contraseñas de la nube. De esta manera, pueden eludir las protecciones adicionales.
TIC Defense cuenta con un conjunto de herramientas, productos y servicios de última tecnología, los cuales permiten una protección total y continua de todos los activos de tu empresa. Nuestros sistemas ayudan a prevenir y combatir todo tipo de ciberataques, desde los más comunes hasta los más sofisticados y desconocidos.
Del mismo modo, si existe una cuenta de administrador de dominio u otra cuenta local con privilegios elevados en el entorno de la nube y carece de la seguridad adecuada, por ejemplo, autenticación multifactor, ciberdelincuentes como Storm-0501 puede emplear las mismas credenciales para acceder a la nube de nuevo.
El grupo de amenazas Embargo emplea un malware basado en el Rust, con el objetivo de ejecutar sus operaciones de Ransomware como Servicio o RaaS, el cual acepta afiliados que violan las normas de las empresas para ejecutar la carga útil y compartir una parte de las ganancias con los desarrolladores.
En el mes de agosto de este año, un afiliado del ransomware Embargo atacó una famosa asociación radial, por lo cual recibió la cantidad de 1 millón de dólares a cambio de un descifrador de sus documentos que funcionara.
Igualmente, en este mismo 2024, un afiliado de Embargo filtró nada menos que 500 GB de datos confidenciales robados. Esto luego de alcanzar la fecha límite para negociar una solución y evitar la filtración de la información.
