Η Microsoft έχει παρατηρήσει ότι οι hackers Storm-0501 έχουν στραφεί σε ransomware επιθέσεις που στοχεύουν hybrid cloud περιβάλλοντα σε οργανισμούς στους τομείς της κυβέρνησης, των κατασκευών, των μεταφορών και της επιβολής του νόμου.
Οι επιθέσεις πολλαπλών σταδίων στοχεύουν τα hybrid cloud περιβάλλοντα και εκτελούν lateral movement από εσωτερική εγκατάσταση σε περιβάλλον cloud, με αποτέλεσμα την εξαγωγή δεδομένων, την κλοπή credential, την παραβίαση και τελικά την ανάπτυξη ransomware.
“Η Storm-0501 είναι μια ομάδα με οικονομικά κίνητρα που χρησιμοποιεί εργαλεία ανοιχτού κώδικα για τη διεξαγωγή επιχειρήσεων ransomware“, λένε οι ερευνητές της Microsoft.
Οι hackers δραστηριοποιούνται από το 2021. Ξεκίνησαν να στοχεύουν εκπαιδευτικές οντότητες με το ransomware Sabbath (54bb47h). Ωστόσο, αργότερα άρχισαν να λειτουργούν σαν affiliates ransomware ομάδων και να διανέμουν διάφορα ransomware payloads (π.χ. Hive, BlackCat (ALPHV) , Hunters International, LockBit και Embargo ransomware).
Το μέλλον της φιλοξενίας: Το πρώτο 3D-printed ξενοδοχείο
Δείτε επίσης: Νέα παραλλαγή Linux του Mallox ransomware βασίζεται σε κώδικα Kryptina
Οι hackers Storm-0501 εκμεταλλεύονται συχνά αδύναμα credentials και over-privileged accounts για να φτάσουν στην υποδομή cloud και να αναπτύξουν ransomware. Μπορούν, επίσης, να εκμεταλλεύονται ευπάθειες σε μη ενημερωμένα εκτεθειμένα στο διαδίκτυο συστήματα.
Αυτή η αρχική πρόσβαση επιτρέπει στους επιτιθέμενους να ανακαλύψουν και να καθορίσουν τα χρήσιμα assets, ώστε να ξεκινήσουν συλλογή πληροφοριών και να πραγματοποιήσουν Active Directory reconnaissance. Έπειτα, ακολουθεί η ανάπτυξη εργαλείων απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) όπως το AnyDesk (για τη διατήρηση persistence).
“Οι επιτιθέμενοι εκμεταλλεύτηκαν τα δικαιώματα διαχειριστή στις τοπικές συσκευές που παραβίασαν κατά την αρχική πρόσβαση και προσπάθησαν να αποκτήσουν πρόσβαση σε περισσότερους λογαριασμούς εντός του δικτύου μέσω διαφόρων μεθόδων“, δήλωσε η Microsoft.
Οι ερευνητές παρατήρησαν ότι οι hackers Storm-0501 χρησιμοποίησαν κυρίως το SecretsDump module του Impacket, το οποίο εξάγει credentials μέσω του δικτύου.
Στη συνέχεια, τα παραβιασμένα credentials χρησιμοποιούνται για πρόσβαση σε ακόμη περισσότερες συσκευές και εξαγωγή πρόσθετων credentials. Οι επιτιθέμενοι καταφέρνουν τελικά να αποκτήσουν πρόσβαση σε ευαίσθητα αρχεία, να κλέψουν KeePass secrets και να πραγματοποιήσουν brute-force επιθέσεις για να αποκτήσουν credentials για συγκεκριμένους λογαριασμούς.
Επιπλέον, η Microsoft είδε ότι οι Storm-0501 hackers χρησιμοποιούν το Cobalt Strike για να μετακινηθούν στο δίκτυο χρησιμοποιώντας τα παραβιασμένα διαπιστευτήρια. Η εξαγωγή δεδομένων από on-premises περιβάλλον επιτυγχάνεται μέσω του Rclone, για τη μεταφορά των δεδομένων στη δημόσια υπηρεσία αποθήκευσης cloud MegaSync.
Δείτε επίσης: Οι hackers Vanilla Tempest στοχεύουν οργανισμούς υγείας με το INC ransomware
Οι hackers δημιουργούν, επίσης, persistent backdoor access στο περιβάλλον cloud και αναπτύσσουν ransomware στις εγκαταστάσεις. Οι Storm-0501 hackers είναι η τρίτη ομάδα που βλέπουμε να στοχεύει hybrid cloud περιβάλλοντα, μετά τις Octo Tempest και Manatee Tempest.
“Ο παράγοντας απειλής χρησιμοποίησε τα διαπιστευτήρια, συγκεκριμένα το Microsoft Entra ID (πρώην Azure AD), που είχε κλαπεί νωρίτερα στην επίθεση, για να μετακινηθεί από την εσωτερική εγκατάσταση στο περιβάλλον cloud και να δημιουργήσει μόνιμη πρόσβαση στο δίκτυο-στόχο μέσω ενός backdoor“, είπε η Microsoft.
Η επίθεση κορυφώνεται με την ανάπτυξη του Embargo ransomware.
“Λειτουργώντας υπό το μοντέλο RaaS, η ομάδα ransomware πίσω από το Embargo επιτρέπει σε affiliates, όπως οι Storm-0501, να χρησιμοποιούν την πλατφόρμα της για να εξαπολύουν επιθέσεις με αντάλλαγμα ένα μερίδιο των λύτρων“, δήλωσε η Microsoft.
“Οι affiliates του Embargo χρησιμοποιούν τακτικές διπλού εκβιασμού, όπου πρώτα κρυπτογραφούν τα αρχεία ενός θύματος και απειλούν να διαρρεύσουν κλεμμένα ευαίσθητα δεδομένα, εκτός εάν καταβληθούν λύτρα“.
Προστασία από ransomware
Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Δείτε επίσης: Ransomware συμμορίες καταχρώνται το Azure Storage Explorer
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransοmware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις.
Πηγή: thehackernews.com
