Microsoft hat beobachtet, wie der Bedrohungsakteur Storm-0501 einen mehrstufigen Angriff startete, bei dem er hybride Cloud-Umgebungen kompromittierte und sich lateral von der lokalen in die Cloud-Umgebung bewegte, was zu Datenexfiltration, Diebstahl von Anmeldeinformationen, Manipulation, dauerhaftem Backdoor-Zugriff und dem Einsatz von Ransomware führte.
Der besagte Angriff zielte auf mehrere Sektoren in den Vereinigten Staaten ab, darunter Regierung, Fertigung, Transport und Strafverfolgung. Storm-0501 ist eine finanziell motivierte Cyberkriminellengruppe, die Standard- und Open-Source-Tools verwendet, um Ransomware-Operationen durchzuführen.
APT-Gruppe Storm-0501 nutzt Ransomware
Storm-0501 war bereits 2021 aktiv und wurde zunächst dabei beobachtet, wie er die Sabbath(54bb47h)-Ransomware bei Angriffen auf US-Schulbezirke einsetzte, Daten zur Erpressung öffentlich durchsickern ließ und sogar Schulpersonal und Eltern direkt ansprach. Seitdem waren die meisten Angriffe des Bedrohungsakteurs opportunistisch, da die Gruppe begann, als Ransomware-as-a-Service (RaaS)-Tochter zu agieren und mehrere Ransomware-Payloads einsetzte, die im Laufe der Jahre von anderen Bedrohungsakteuren entwickelt und gepflegt wurden, darunter Hive, BlackCat (ALPHV), Hunters International, LockBit und zuletzt Embargo-Ransomware. Der Bedrohungsakteur wurde kürzlich auch dabei beobachtet, wie er Krankenhäuser in den USA ins Visier nahm.
Hintertürzugriff auf die Cloud-Umgebung
Storm-0501 ist der jüngste Bedrohungsakteur, der schwache Anmeldeinformationen und überprivilegierte Konten ausnutzt, um von der lokalen Umgebung von Organisationen in Cloud-Umgebungen zu gelangen. Sie haben Anmeldeinformationen gestohlen und diese verwendet, um die Kontrolle über das Netzwerk zu erlangen, wodurch sie schließlich einen dauerhaften Hintertürzugriff auf die Cloud-Umgebung geschaffen und Ransomware in der lokalen Umgebung eingesetzt haben. Microsoft hat zuvor Bedrohungsakteure wie Octo Tempest und Manatee Tempest beobachtet, die sowohl lokale als auch Cloud-Umgebungen ins Visier nahmen und die Schnittstellen zwischen den Umgebungen ausnutzten, um ihre Ziele zu erreichen.
Da Hybrid-Cloud-Umgebungen immer häufiger zum Einsatz kommen, wird es für Unternehmen immer wichtiger, Ressourcen über mehrere Plattformen hinweg zu sichern. Microsoft möchte seinen Kunden dabei helfen, diese Angriffe zu verstehen und wirksame Abwehrmaßnahmen dagegen zu entwickeln.
In einem Blogbeitrag geht Microsoft auf die Taktiken, Techniken und Verfahren (TTPs) von Storm-0501, typische Angriffsmethoden und die Ausweitung auf die Cloud ein. Der Artikel informiert auch darüber, wie Microsoft Aktivitäten erkennt, die mit dieser Art von Angriffen in Zusammenhang stehen, und gibt Hinweise zur Schadensbegrenzung, damit Verteidiger ihre Umgebung schützen können.
Mehr bei Microsoft.com
Über Microsoft Deutschland Die Microsoft Deutschland GmbH wurde 1983 als deutsche Niederlassung der Microsoft Corporation (Redmond, U.S.A.) gegründet. Microsoft hat es sich zur Aufgabe gemacht, jede Person und jedes Unternehmen auf der Welt zu befähigen, mehr zu erreichen. Diese Herausforderung kann nur gemeinsam gemeistert werden, weshalb Diversität und Inklusion seit den Anfängen fest in der Unternehmenskultur verankert sind. Als weltweit führender Hersteller von produktiven Softwarelösungen und modernen Services im Zeitalter von intelligent Cloud und intelligent Edge, sowie als Entwickler innovativer Hardware, versteht sich Microsoft als Partner seiner Kunden, um diesen zu helfen, von der digitalen Transformation zu profitieren. Sicherheit und Datenschutz haben bei der Entwicklung von Lösungen oberste Priorität. Als weltweit größter Beitragsgeber treibt Microsoft die Open-Source-Technologie über seine führende Entwicklerplattform GitHub voran. Mit LinkedIn, dem größten Karriere-Netzwerk, fördert Microsoft die berufliche Vernetzung weltweit.