I criminali ransomware cancellare i dati e le copie memorizzate su Azure dopo l'estrazione dei dati
Un attacco di ransomware è stato eseguito su un ambiente Microsoft Azure di una vittima da un gruppo noto come Storm-0501. L'attacco, che ha preso di mira un ambiente ibrido gestito tramite Microsoft Azure, si è concentrato specificamente su un tenant Azure e la sua infrastruttura Active Directory connessa.
L'attacco è iniziato con Storm-0501 che ha tentato senza successo di accedere come diversi utenti privilegiati. Questo è probabilmente stato impedito dalle politiche di accesso condizionale e dall'autenticazione a più fattori (MFA). Tuttavia, il gruppo è riuscito a superare questo ostacolo reimpostando la password degli utenti on-premises e sincronizzandola legitimamente con l'identità cloud tramite il servizio Entra Connect Sync.
Una volta autenticato, Storm-0501 si è assegnato il ruolo di Proprietario Azure su tutte le sottoscrizioni Azure, consentendogli di eseguire l'esfiltrazione e la cancellazione dei dati. Il gruppo ha quindi esposto i conti di archiviazione Azure e ha avviato la cancellazione di massa delle risorse Azure contenenti i dati dell'organizzazione vittima.
Per le risorse protette dalla cancellazione dalle politiche immutabili, il gruppo ha risorto all'crittazione basata su cloud. Hanno anche esfiltrato i dati contenuti in quegli account nella loro infrastruttura utilizzando lo strumento CLI AzCopy.
Gli attaccanti hanno compromesso un server Entra Connect Sync, che ha fatto da punto di svolta per il movimento laterale. Hanno identificato un'identità sincronizzata non umana con il ruolo di Amministratore Globale in Microsoft Entra ID, che non aveva alcun metodo MFA registrato. Ciò ha consentito all'attaccante di autenticarsi contro Entra ID come quell'utente tramite la nuova password e registrare un nuovo metodo MFA sotto il loro controllo.
Dopo l'autenticazione riuscita, il gruppo ha creato un accesso posteriore utilizzando un dominio federato aggiunto in modo fraudolento. Hanno eseguito un attacco DCSync, una tecnica che abusa del protocollo Remote del Servizio di Riproduzione della Directory (DRS) per simulare il comportamento di un controller di dominio.
Il gruppo ha un approccio opportunistico, con vittime che includono scuole e organizzazioni sanitarie. Hanno abusato del ruolo di Proprietario Azure per rubare le chiavi di accesso per i conti di archiviazione Azure che avevano l'accesso alle chiavi abilitato. Ciò ha consentito loro di autenticarsi contro questi account e eseguire le loro attività maliziose.
Storm-0501 ha distrutto i dati, i backup e ha impedito alla vittima di intraprendere azioni di rimedio e mitigazione efficaci. Gli attaccanti hanno influenzato due tenant, acquisendo ultimately l'accesso ai magazzini di dati preziosi dell'organizzazione che risiedevano in Azure.
Microsoft ha segnalato questo incidente che ha comportato il compromesso di un tenant Entra ID e dei sistemi ibridi sotto i suoi servizi cloud. Gli attaccanti, Storm-0501, hanno adattato le loro tattiche dal loro emergere nel 2021, inclusa l'utilizzo del ransomware Embargo negli attacchi del 2024.
Questo attacco ricorda l'importanza di misure di sicurezza robuste negli ambienti cloud. Le organizzazioni devono assicurarsi di avere politiche di accesso condizionale forti, MFA e auditorie regolari per rilevare e prevenire tali attacchi.
Leggi anche:
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Esplorare il campo dell'ortopedia degli anziani
- Incremento delle incidenze di febbre della valle nella California centrale
- I leader dell'industria automobilistica mondiale si riuniranno nel 2024 per il simposio sulla regolamentazione e la sostenibilità ospitato dal nostro sito
