Storm-0501-Ransomware entwickelt sich weiter. Sicherheitsforscher berichten, dass die Gruppe von traditionellen lokalen Infektionen zu cloudbasierten Ransomware-Kampagnen übergegangen ist. Durch das Ausnutzen von Identitäts-Fehlkonfigurationen und integrierten Cloud-Funktionen können die Angreifer nun Daten verschlüsseln, Backups löschen und Opfer erpressen – ganz ohne den Einsatz herkömmlicher Schadsoftware.
Vom On-Premises in die Cloud
Microsoft stellt fest, dass Storm-0501, aktiv seit 2021, zuvor bekannte Ransomware-as-a-Service-Plattformen wie Hive, LockBit und BlackCat nutzte. Ihre Operationen konzentrieren sich nun vollständig auf Cloud-Umgebungen. Dieser Wechsel ermöglicht es ihnen, direkt Speicher, Backups und Schlüssel anzugreifen und dabei viele Endpunkt-Sicherheitsmaßnahmen zu umgehen.
Angriffskette
Die Gruppe setzt auf eine strukturierte Angriffskette:
- Kompromittierung von Active Directory und Entra ID-Mandanten durch schwache Defender-Implementierungen.
- Auflistung von Konten und Identifizierung von Administratorrollen ohne MFA-Schutz.
- Zurücksetzen von Passwörtern und Erlangen von Global-Admin-Zugriff.
- Privilegienerweiterung mithilfe der integrierten Autorisierungsfunktionen von Azure.
- Löschen von Wiederherstellungspunkten und Verschlüsseln von Speicher durch neue Key Vaults mit kundengemanagten Schlüsseln.
- Kontaktaufnahme mit den Opfern über Microsoft Teams, um Lösegeldforderungen zu übermitteln.
Jeder Schritt nutzt Cloud-Funktionalität anstelle von Malware-Dateien, was die Erkennung erheblich erschwert.
Warum das wichtig ist
Der Ansatz von Storm-0501 zeigt, wie Angreifer vertrauenswürdige Cloud-Tools gegen deren Eigentümer einsetzen können. Durch die Manipulation legitimer Dienste umgehen sie Antiviren-Schutz, hinterlassen nur wenige Spuren und erschweren forensische Analysen. Für Unternehmen in der Cloud wird schnelle Erkennung und Reaktion daher unverzichtbar.
Abwehrmaßnahmen
Microsoft empfiehlt, strenge MFA für alle Administratorkonten zu aktivieren, verdächtige Nutzung von Azure Key Vaults zu überwachen und Autorisierungsprotokolle zu überprüfen. Außerdem wurden Defender XDR-Erkennungsregeln und Suchabfragen veröffentlicht, die Organisationen helfen sollen, Angriffe frühzeitig zu identifizieren.
Fazit
Storm-0501-Ransomware verdeutlicht die wachsende Bedrohung durch cloudbasierte Angriffe. Durch den Missbrauch legitimer Cloud-Funktionen hat die Gruppe definiert, wie sich Ransomware-Kampagnen entwickeln. Sicherheitsteams müssen sich schnell anpassen, ihre Verteidigungsmaßnahmen verstärken und sicherstellen, dass Wiederherstellungssysteme weder gelöscht noch verschlüsselt werden können. Das Aufkommen von Storm-0501 beweist: Die Cloud ist nun ein zentrales Schlachtfeld.
0 Kommentare zu „Storm-0501-Ransomware-Gruppe verlagert Angriffe in die Cloud“