Компания Microsoft выявилановую хакерскую единицу, отслеживаемую под идентификатором Storm-0501. Ранее эта группа сотрудничала с такими известными бандами-вымогателями, как Hive, BlackCat (ALPHV), Hunters International, LockBit, и Embargo. Теперь же Storm-0501 перешла к самостоятельной деятельности, нацелившись на гибридные облачные среды, используя для атак открытые инструменты. Главная цель киберпреступников – финансовая выгода.
Недавно группа Storm-0501 провела многоэтапные атаки на территории США, взламывая гибридные облачные среды и распространяясь от локальных устройств до облака. Эти атаки привели к похищению учётных данных, краже конфиденциальной информации, вмешательству в системы, созданию бэкдоров и запуску программ-вымогателей. Жертвами группировки стали государственные организации, производственные компании, транспортные службы, правоохранительные органы и даже больницы.
Известно, что Storm-0501 действует как минимум с 2021 года. В своих атаках группа применяла сразу несколько видов программ-вымогателей, разработанных и поддерживаемых другими группами. Для получения начального доступа преступники обычно пользуются украденными учётными данными и известными уязвимостями, чтобы находить аккаунты с расширенными привилегиями. Впоследствии, воспользовавшись этими привилегиями, хакеры переходят в облако, используя уязвимости в интерфейсах между средами.
Недавний отчёт Microsoft Threat Intelligence подчёркивает, что с ростом использования гибридных облачных сред, обеспечение безопасности ресурсов на нескольких платформах становится всё более сложной задачей. Так, в одной из последних атак Storm-0501 эксплуатировал известные уязвимости в Zoho ManageEngine, Citrix NetScaler и ColdFusion 2016. Безопасность операций пострадавших организаций оказалась недостаточной.
В ходе атаки Storm-0501 использует стандартные инструменты и команды Windows, такие как “systeminfo.exe”, “net.exe”, “nltest.exe” и “tasklist.exe”, а также открытые средства для разведки и удалённого управления, например AnyDesk. Получив права администратора, группировка крадёт учётные данные для дальнейшего распространения по сети и достижения контроллера домена с целью развёртывания программ-вымогателей.
Как только Storm-0501 получает контроль над сетью и перемещается в облачную среду, хакеры разворачивают новое вымогательское ПО Embargo, созданное на базе Rust и использующее продвинутые методы шифрования. Однако не всегда атакующие используют вымогательский софт – в некоторых случаях они лишь поддерживают доступ к сети.
Microsoft усиленно работает над защитой сервиса Microsoft Entra ID (ранее Azure AD), который злоумышленники применяли для кражи учётных данных. Техногигант рекомендует организациям использовать надёжные механизмы аутентификации, ограничивать доступ для синхронизационных аккаунтов и использовать EDR-решения для усиления безопасности.