El actor de amenazas conocido como Storm-0501 ha atacado a los sectores gubernamentales, manufactureros, de transporte y de aplicación de la ley en EE. UU. para realizar ataques de ransomware.
La campaña de ataque de múltiples etapas tiene como objetivo comprometer entornos de nube híbrida y facilitar el movimiento lateral desde el entorno local hacia la nube. Esto puede llevar a la exfiltración de datos, robo de credenciales, manipulación de información, acceso persistente a través de puertas traseras y la implementación de ransomware, según Microsoft.
“Storm-0501 es un grupo cibercriminal motivado económicamente que utiliza herramientas de código abierto y técnicas básicas para llevar a cabo sus operaciones de ransomware”, indica el equipo de inteligencia de amenazas de la compañía.
Activo desde 2021, este actor de amenazas ha atacado entidades educativas utilizando el ransomware Sabbath (54bb47h) antes de transformarse en un afiliado de ransomware como servicio (RaaS), distribuyendo diversas cargas útiles de ransomware a lo largo de los años, como Hive, BlackCat (ALPHV), Hunters International, LockBit y Embargo ransomware.
Un aspecto destacado de los ataques de Storm-0501 es su uso de credenciales débiles y cuentas con privilegios excesivos, lo que les permite trasladarse de las instalaciones locales a la infraestructura en la nube.
Otros métodos de acceso inicial incluyen aprovechar un punto de apoyo ya establecido por agentes de acceso como Storm-0249 y Storm-0900, o la explotación de vulnerabilidades conocidas de ejecución remota de código en servidores expuestos a Internet sin parches, como Zoho ManageEngine, Citrix NetScaler y Adobe ColdFusion 2016.
Cualquiera de estos enfoques facilita operaciones de detección exhaustiva para identificar activos de alto valor, recopilar información de dominio y realizar reconocimiento de Active Directory. Posteriormente, se implementan herramientas de administración y monitoreo remoto (RMM) como AnyDesk para mantener la persistencia.
“El actor de amenazas aprovechó los privilegios de administrador en dispositivos locales comprometidos durante el acceso inicial e intentó acceder a más cuentas dentro de la red mediante diversos métodos”, señala Microsoft.
“Principalmente, el grupo utilizó el módulo SecretsDump de Impacket, que permite extraer credenciales a través de la red, aplicándolo en numerosos dispositivos para obtener información de acceso”.
Los ataques se caracterizan por el uso de la puerta trasera SystemBC para mantener la persistencia, así como Mimikatz y Cobalt Strike para la recolección de credenciales y el movimiento lateral. Estados Unidos representa más del 50% de las víctimas, seguido por el Reino Unido y Australia.
“El grupo emplea tácticas de doble extorsión, encriptando datos y amenazando con filtrarlos si no se paga un rescate”, explica Group-IB, con sede en Singapur. “El programa de afiliados, lanzado el 26 de junio de 2024, ofrece un 80% del rescate a los afiliados, junto con herramientas para la gestión y automatización de ataques”.
Fuente: thehackernews.com