30 de setembro de 2024

Microsoft identifica campanha de Ransomware contra setores críticos

Compartilhe

O grupo de cibercriminosos Storm-0501, ativo desde 2021, tem realizado ataques direcionados a setores governamentais, de manufatura, transporte e segurança pública nos Estados Unidos. Recentemente, a Microsoft revelou que esses ataques utilizam ransomware para comprometer ambientes de nuvem híbrida. O objetivo principal é invadir infraestruturas locais e na nuvem, permitindo o roubo de dados, credenciais e a implementação de ransomware.

Métodos de Acesso

O Storm-0501 utiliza ferramentas de código aberto e um modelo de ransomware como serviço (RaaS), distribuindo malware como Hive, BlackCat e LockBit. Os ataques começam frequentemente com a exploração de credenciais fracas ou vulnerabilidades em servidores desatualizados, como Zoho ManageEngine e Citrix NetScaler. Além disso, o grupo se aproveita de contas com privilégios excessivos para ganhar acesso inicial aos sistemas das vítimas.

Movimentação dentro das Redes

Depois de obter acesso, os hackers realizam operações de reconhecimento em busca de ativos de alto valor. Em seguida, usam ferramentas como AnyDesk para manter a persistência nos sistemas. A partir desse ponto, o Storm-0501 realiza movimentos laterais, acessando mais dispositivos na rede. Esse processo permite o roubo contínuo de dados e facilita a propagação do ransomware em toda a infraestrutura da organização.

Exfiltração de Dados e Persistência

Uma vez dentro dos sistemas, o grupo utiliza o Cobalt Strike para facilitar a movimentação lateral e Rclone para exfiltrar dados para serviços de nuvem pública, como MegaSync. Além disso, os hackers instalam backdoors persistentes nos sistemas de nuvem, garantindo o controle contínuo das redes invadidas.

Conclusão

O Storm-0501 continua sendo uma ameaça significativa, evoluindo suas táticas para atacar setores críticos. A Microsoft recomenda que as organizações fortaleçam suas credenciais, atualizem seus sistemas e monitorem de perto suas infraestruturas para evitar a ação desse grupo.

Fonte: BoletimSec

Saiba mais sobre o Seguro Cyber:

Publicado em: seguro cyber

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 months	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 months	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Manchetes do Mercado

Microsoft identifica campanha de Ransomware contra setores críticos

Saiba mais sobre o Seguro Cyber:

Veja mais