Storm-0501-løsepengevaren er i utvikling. Sikkerhetsforskere rapporterer at gruppen har gått fra tradisjonelle lokale infeksjoner til skybaserte løsepengekampanjer. Ved å utnytte identitetsfeilkonfigurasjoner og innebygde skyfunksjoner kan hackerne nå kryptere data, slette sikkerhetskopier og presse ofre – uten å bruke tradisjonell skadevare.
Fra lokalt til skyen
Microsoft bemerker at Storm-0501, som har vært aktiv siden 2021, tidligere brukte kjente ransomware-as-a-service-plattformer som Hive, LockBit og BlackCat. Nå retter de hele virksomheten mot skyløsninger. Dette gjør det mulig å angripe lagring, sikkerhetskopier og nøkler direkte, og samtidig unngå mange endepunktsforsvar.
Angrepskjede
Gruppen benytter en strukturert angrepssekvens:
- Kompromittere Active Directory og Entra ID-leietakere via svake Defender-implementeringer.
- Kartlegge kontoer og identifisere administratorroller uten MFA-beskyttelse.
- Tilbakestille passord og få Global Admin-tilgang.
- Heve privilegier ved hjelp av Azures innebygde autorisasjonsfunksjoner.
- Slette gjenopprettingspunkter og kryptere lagring ved å opprette nye Key Vaults med kundestyrte nøkler.
- Kontakte ofrene via Microsoft Teams for å levere løsepengekrav.
Hvert steg utnytter skyfunksjonalitet i stedet for skadevarefiler, noe som gjør oppdagelse vanskeligere.
Hvorfor dette er viktig
Storm-0501 viser hvordan angripere kan bruke betrodde skyverktøy mot eierne selv. Ved å manipulere legitime tjenester omgår de antivirus, etterlater få spor og gjør etterforskning mer utfordrende. Dette gjør rask oppdagelse og respons helt avgjørende for organisasjoner som opererer i skyen.
Forsvarstiltak
Microsoft anbefaler å aktivere streng MFA for alle administratorkontoer, overvåke mistenkelig bruk av Azure Key Vaults og gjennomgå autorisasjonslogger. I tillegg er det utgitt Defender XDR-regler og søkespørringer for å hjelpe organisasjoner med å identifisere angrep tidlig.
Konklusjon
Storm-0501-løsepengevaren illustrerer den voksende trusselen fra skybaserte angrep. Ved å misbruke legitime skyfunksjoner har gruppen omdefinert hvordan løsepengekampanjer utføres. Sikkerhetsteam må raskt tilpasse seg, styrke forsvarene og sørge for at gjenopprettingssystemer ikke kan slettes eller krypteres. Fremveksten av Storm-0501 beviser at skyen nå er en sentral slagmark.
0 responses to “Storm-0501 løsepengegruppe går over til angrep i skyen”