Microsoft identifica campanha de Ransomware contra setores críticos
O grupo de cibercriminosos Storm-0501, ativo desde 2021, tem realizado ataques direcionados a setores governamentais, de manufatura, transporte e segurança pública nos Estados Unidos. Recentemente, a Microsoft revelou que esses ataques utilizam ransomware para comprometer ambientes de nuvem híbrida. O objetivo principal é invadir infraestruturas locais e na nuvem, permitindo o roubo de dados, credenciais e a implementação de ransomware.
Métodos de Acesso
O Storm-0501 utiliza ferramentas de código aberto e um modelo de ransomware como serviço (RaaS), distribuindo malware como Hive, BlackCat e LockBit. Os ataques começam frequentemente com a exploração de credenciais fracas ou vulnerabilidades em servidores desatualizados, como Zoho ManageEngine e Citrix NetScaler. Além disso, o grupo se aproveita de contas com privilégios excessivos para ganhar acesso inicial aos sistemas das vítimas.
Movimentação dentro das Redes
Depois de obter acesso, os hackers realizam operações de reconhecimento em busca de ativos de alto valor. Em seguida, usam ferramentas como AnyDesk para manter a persistência nos sistemas. A partir desse ponto, o Storm-0501 realiza movimentos laterais, acessando mais dispositivos na rede. Esse processo permite o roubo contínuo de dados e facilita a propagação do ransomware em toda a infraestrutura da organização.
Exfiltração de Dados e Persistência
Uma vez dentro dos sistemas, o grupo utiliza o Cobalt Strike para facilitar a movimentação lateral e Rclone para exfiltrar dados para serviços de nuvem pública, como MegaSync. Além disso, os hackers instalam backdoors persistentes nos sistemas de nuvem, garantindo o controle contínuo das redes invadidas.
Conclusão
O Storm-0501 continua sendo uma ameaça significativa, evoluindo suas táticas para atacar setores críticos. A Microsoft recomenda que as organizações fortaleçam suas credenciais, atualizem seus sistemas e monitorem de perto suas infraestruturas para evitar a ação desse grupo.
Fonte: BoletimSec