Storm-0501-ransomware utvecklas. Säkerhetsforskare rapporterar att gruppen har gått från traditionella lokala infektioner till molnbaserade ransomware-kampanjer. Genom att utnyttja identitetsfelkonfigurationer och inbyggda molnfunktioner kan hackarna nu kryptera data, radera säkerhetskopior och utpressa offer utan att använda traditionell skadlig kod.
Från lokalt till molnet
Microsoft noterar att Storm-0501, aktiv sedan 2021, tidigare använde välkända ransomware-as-a-service-plattformar som Hive, LockBit och BlackCat. Deras verksamhet är nu helt inriktad på molnmiljöer. Detta skifte gör det möjligt för dem att rikta in sig direkt på lagring, säkerhetskopior och nycklar, och samtidigt kringgå många endpoint-skydd.
Attackkedja
Gruppen förlitar sig på en strukturerad attacksekvens:
- Kompromettera Active Directory och Entra ID-tenants genom svaga Defender-implementationer.
- Kartlägga konton och identifiera administratörsroller utan MFA-skydd.
- Återställa lösenord och få Global Admin-åtkomst.
- Höja privilegier med Azures inbyggda auktoriseringsfunktioner.
- Radera återställningspunkter och kryptera lagring genom att skapa nya Key Vaults med kundhanterade nycklar.
- Kontakta offer via Microsoft Teams för att leverera lösensumma-krav.
Varje steg utnyttjar molnens inbyggda funktionalitet i stället för skadliga filer, vilket gör attackerna svårare att upptäcka.
Varför detta är viktigt
Storm-0501:s metod visar hur angripare kan använda betrodda molnverktyg mot deras ägare. Genom att manipulera legitima tjänster undviker de antivirus, lämnar få spår och gör forensiska undersökningar svårare. Detta gör snabb upptäckt och respons avgörande för organisationer som arbetar i molnet.
Försvarsåtgärder
Microsoft rekommenderar att aktivera strikt MFA för alla administratörskonton, övervaka misstänkt användning av Azure Key Vaults och granska auktoriseringsloggar. Dessutom har Defender XDR-detekteringsregler och jaktfrågor släppts för att hjälpa organisationer att identifiera attacker tidigt.
Slutsats
Storm-0501-ransomware visar på det växande hotet från molnbaserade attacker. Genom att missbruka legitima molnfunktioner har gruppen omdefinierat hur ransomware-kampanjer utförs. Säkerhetsteam måste snabbt anpassa sig, stärka sina försvar och säkerställa att återställningssystem inte kan raderas eller krypteras. Storm-0501:s framväxt bevisar att molnet nu är en central stridszon.
0 svar till ”Storm-0501 ransomwaregrupp skiftar till attacker mot molnet”