Cloud-Ransomware-Angriff: Microsoft sieht Sturm-0501 als Bedrohung
Microsoft hat vor kurzem einen als Storm-0501 bekannten Bedrohungsakteur identifiziert, der es auf die Regierung, das produzierende Gewerbe, das Transportwesen und die Strafverfolgungsbehörden in den Vereinigten Staaten abgesehen hat. Cloud-Ransomware-Angriff Kampagne. In diesem Artikel gehen wir auf die Details der Kampagne ein und stellen fest, wie solche Angriffe durchgeführt werden. Fangen wir an!
Cloud-Ransomware-Angriff Kampagnen-Hacker identifiziert
Storm-0501 ist ein finanziell motivierter Bedrohungsakteur, der seit 2021 aktiv ist. Als Teil seiner Cloud-Ransomware-Angriffe hat der Bedrohungsakteur Bildungseinrichtungen mit der Sabbath (54bb47h) Ransomware. Jetzt hat er sich jedoch in eine Ransomware-as-a-Service (RaaS)-Niederlassung verwandelt.
In böswilliger Absicht hat der Bedrohungsakteur seit der Umstellung verschiedene Ransomware-Payloads verbreitet. Einige dieser Payloads umfassen Ransomware, wie z. B. die:
- Bienenstock.
- LockBit.
- Embargo
- BlackCat (ALPHV).
- Hunters International.
Einer der bemerkenswertesten Aspekte dieser Angriffe ist ihr hybrider Charakter. Es wird vermutet, dass der Bedrohungsakteur schwache Anmeldeinformationen die für überprivilegierte Konten verwendet werden, um einen ersten Zugang zu erhalten. Nachdem er in die lokalen Systeme eingedrungen ist, weitet er den Angriffsbereich aus, indem er in die Cloud wechselt. Andere Methoden, die für den Erstzugang verwendet werden, sind:
- Nutzung eines von einem Zugangsvermittler eingerichteten Standbeins.
- Ausnutzung bekannter Remote-Code-Schwachstellen.
Bevor wir auf die Details des mehrstufigen Cloud-Ransomware-Angriff Kampagne eingehen, ist es erwähnenswert, dass solche Angriffe zu verschiedenen Zwecken durchgeführt werden, darunter:
- Manipulationen.
- Diebstahl von Zugangsdaten.
- Datenexfiltration.
- Einsatz von Ransomware.
- Dauerhafter Zugang durch eine Hintertür.
Storm-0501 Ransomware-Angriffskette
Sobald der Bedrohungsakteur Zugriff auf das kompromittierte System erlangt hat, besteht sein primäres Ziel darin, Erkundungsoperationen durchzuführen, wertvolle Vermögenswerte zu ermitteln, Informationen zu sammeln und Active Directory zu erkunden. Einblicke in einen solchen Cloud-Ransomware-Angriffhat Microsoft erklärt dass:
"Der Angreifer nutzte die Administratorrechte auf den lokalen Geräten, die er während des ersten Zugriffs kompromittiert hatte, und versuchte, über mehrere Methoden Zugang zu weiteren Konten im Netzwerk zu erhalten. Der Angreifer nutzte in erster Linie das Modul SecretsDump von Impacket, das Anmeldedaten über das Netzwerk extrahiert, und setzte es auf einer Vielzahl von Geräten ein, um Anmeldedaten zu erhalten."
Berichte wird behauptet, dass nach dem ersten Zugriff die Anmeldedaten für das Eindringen in weitere Geräte verwendet werden, so dass der Bedrohungsakteur über Anmeldedaten für weitere Geräte verfügt. Der Cloud-Ransomware-Angriff Hacker wurden auch dabei beobachtet, wie sie Cobalt Strike für laterale Bewegungen innerhalb eines Netzwerks einsetzten, was ihnen ermöglichte, Folgebefehle zu senden.
Es ist erwähnenswert, dass Rclone verwendet wird, um die Daten von lokalen Umgebungen auf den öffentlichen Cloud-Speicherdienst MegaSync zu übertragen. Neben dem Datendiebstahl ist der Cloud-Ransomware-Angriff Hacker sind dafür bekannt, dass sie hartnäckige Hintertüren für den Zugriff auf die Cloud-Umgebung und die Bereitstellung von Ransomware entwickeln.
Schlussfolgerung
Die Cloud-Ransomware-Kampagne von Storm-0501 ist eine ausgeklügelte Bedrohung, die durch eine Kombination aus schwachen Anmeldedaten, hybriden Angriffen und hartnäckigen Hintertüren auf Schlüsselsektoren abzielt.
Durch den Einsatz fortschrittlicher Tools und Techniken erlangt der Bedrohungsakteur effektiv die Kontrolle, um Daten zu exfiltrieren und Ransomware einzusetzen, was die sich entwickelnden Gefahren der modernen Cyberkriminalität verdeutlicht.
In Anbetracht solcher Angriffstaktiken müssen die Benutzer strenge Schutzmaßnahmen Diese Initiative kann dazu beitragen, das Risiko zu senken und den Schutz zu gewährleisten.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Microsoft.