Microsoft: APT-Gruppe Storm-0501 zielt auf Hybrid-Clouds

Microsoft: APT-Gruppe Storm-0501 zielt auf Hybrid-Clouds Bild von Suresh anchan auf Pixabay

Beitrag teilen

Microsoft hat beobachtet, wie der Bedrohungsakteur Storm-0501 einen mehrstufigen Angriff startete, bei dem er hybride Cloud-Umgebungen kompromittierte und sich lateral von der lokalen in die Cloud-Umgebung bewegte, was zu Datenexfiltration, Diebstahl von Anmeldeinformationen, Manipulation, dauerhaftem Backdoor-Zugriff und dem Einsatz von Ransomware führte.

Der besagte Angriff zielte auf mehrere Sektoren in den Vereinigten Staaten ab, darunter Regierung, Fertigung, Transport und Strafverfolgung. Storm-0501 ist eine finanziell motivierte Cyberkriminellengruppe, die Standard- und Open-Source-Tools verwendet, um Ransomware-Operationen durchzuführen.

Anzeige

APT-Gruppe Storm-0501 nutzt Ransomware

Storm-0501 war bereits 2021 aktiv und wurde zunächst dabei beobachtet, wie er die Sabbath(54bb47h)-Ransomware bei Angriffen auf US-Schulbezirke einsetzte, Daten zur Erpressung öffentlich durchsickern ließ und sogar Schulpersonal und Eltern direkt ansprach. Seitdem waren die meisten Angriffe des Bedrohungsakteurs opportunistisch, da die Gruppe begann, als Ransomware-as-a-Service (RaaS)-Tochter zu agieren und mehrere Ransomware-Payloads einsetzte, die im Laufe der Jahre von anderen Bedrohungsakteuren entwickelt und gepflegt wurden, darunter Hive, BlackCat (ALPHV), Hunters International, LockBit und zuletzt Embargo-Ransomware. Der Bedrohungsakteur wurde kürzlich auch dabei beobachtet, wie er Krankenhäuser in den USA ins Visier nahm.

Hintertürzugriff auf die Cloud-Umgebung

Storm-0501 ist der jüngste Bedrohungsakteur, der schwache Anmeldeinformationen und überprivilegierte Konten ausnutzt, um von der lokalen Umgebung von Organisationen in Cloud-Umgebungen zu gelangen. Sie haben Anmeldeinformationen gestohlen und diese verwendet, um die Kontrolle über das Netzwerk zu erlangen, wodurch sie schließlich einen dauerhaften Hintertürzugriff auf die Cloud-Umgebung geschaffen und Ransomware in der lokalen Umgebung eingesetzt haben. Microsoft hat zuvor Bedrohungsakteure wie Octo Tempest und Manatee Tempest beobachtet, die sowohl lokale als auch Cloud-Umgebungen ins Visier nahmen und die Schnittstellen zwischen den Umgebungen ausnutzten, um ihre Ziele zu erreichen.

Da Hybrid-Cloud-Umgebungen immer häufiger zum Einsatz kommen, wird es für Unternehmen immer wichtiger, Ressourcen über mehrere Plattformen hinweg zu sichern. Microsoft möchte seinen Kunden dabei helfen, diese Angriffe zu verstehen und wirksame Abwehrmaßnahmen dagegen zu entwickeln.

In einem Blogbeitrag geht Microsoft auf die Taktiken, Techniken und Verfahren (TTPs) von Storm-0501, typische Angriffsmethoden und die Ausweitung auf die Cloud ein. Der Artikel informiert auch darüber, wie Microsoft Aktivitäten erkennt, die mit dieser Art von Angriffen in Zusammenhang stehen, und gibt Hinweise zur Schadensbegrenzung, damit Verteidiger ihre Umgebung schützen können.

Mehr bei Microsoft.com

 


Über Microsoft Deutschland

Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind.

Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen