Storm-0501-ransomware er under udvikling. Sikkerhedsforskere rapporterer, at gruppen er gået fra traditionelle lokale infektioner til skybaserede ransomware-kampagner. Ved at udnytte identitetsfejlkonfigurationer og indbyggede skyfunktioner kan hackerne nu kryptere data, slette sikkerhedskopier og afpresse ofre – uden at bruge traditionel malware.
Fra lokalt til skyen
Microsoft bemærker, at Storm-0501, som har været aktiv siden 2021, tidligere anvendte velkendte ransomware-as-a-service-platforme som Hive, LockBit og BlackCat. Nu fokuserer deres operationer udelukkende på skymiljøer. Dette skift gør det muligt for dem at gå direkte efter lagring, sikkerhedskopier og nøgler, og samtidig undgå mange endpoint-forsvar.
Angrebskæde
Gruppen benytter en struktureret angrebsekvens:
- Kompromittering af Active Directory og Entra ID-tenants gennem svage Defender-implementeringer.
- Kortlægning af konti og identifikation af administratorroller uden MFA-beskyttelse.
- Nulstilling af adgangskoder og opnåelse af Global Admin-adgang.
- Eskalering af privilegier ved hjælp af Azures indbyggede autorisationsfunktioner.
- Sletning af gendannelsespunkter og kryptering af lagring ved at oprette nye Key Vaults med kundeadministrerede nøgler.
- Kontakt til ofre via Microsoft Teams for at levere krav om løsesum.
Hvert trin udnytter skyfunktionalitet i stedet for malwarefiler, hvilket gør det vanskeligere at opdage.
Hvorfor dette er vigtigt
Storm-0501 viser, hvordan angribere kan bruge betroede skyværktøjer imod deres ejere. Ved at manipulere legitime tjenester omgår de antivirus, efterlader få spor og gør efterforskning mere udfordrende. Dette gør hurtig opdagelse og reaktion afgørende for organisationer, der arbejder i skyen.
Forsvarstiltag
Microsoft anbefaler at aktivere streng MFA for alle administratorkonti, overvåge mistænkelig brug af Azure Key Vaults og gennemgå autorisationslogs. Derudover er der frigivet Defender XDR-detekteringsregler og søgeforespørgsler for at hjælpe organisationer med at identificere angreb tidligt.
Konklusion
Storm-0501-ransomware illustrerer den voksende trussel fra skybaserede angreb. Ved at misbruge legitime skyfunktioner har gruppen omdefineret, hvordan ransomware-kampagner udføres. Sikkerhedsteams må hurtigt tilpasse sig, styrke forsvaret og sikre, at gendannelsessystemer ikke kan slettes eller krypteres. Fremkomsten af Storm-0501 beviser, at skyen nu er en central slagmark.
0 svar til “Storm-0501 ransomwaregruppe skifter til angreb mod skyen”