Los ciberdelincuentes apuntan a las plataformas de nube híbrida con una nueva y preocupante estrategia ransomware Creo, microsoft Revelaron investigadores de seguridad.
Los expertos en inteligencia de amenazas de la empresa han publicado un nuevo informe Publicación de blog Advertencia para Storm-0501, un grupo de ransomware activo desde 2021.
El equipo advirtió que Storm-0501 apunta a varios sectores en los Estados Unidos, desde el gobierno y la manufactura hasta el transporte y las fuerzas del orden.
Ransomware basado en óxido
Los investigadores de Microsoft creen que el grupo tiene una motivación financiera, lo que significa que no es un actor patrocinado por el estado, ya que apunta a empresas con la intención de extorsionar dinero, que luego puede utilizar para financiar actividades adicionales de ciberdelincuencia.
Cuando Storm-0501 ataca, busca cuentas mal protegidas y con demasiados privilegios. Una vez que las cuentas están comprometidas, se utilizan para otorgar acceso a dispositivos locales y, desde allí, a entornos de nube. El siguiente paso es lograr estabilidad y permitir un movimiento lateral implacable en toda la infraestructura.
El último paso es la introducción del ransomware. En el pasado, Storm-0501 utilizó variantes populares, como Hive, BlackCat (ALPHV), Hunters International y LockBit. Sin embargo, en algunos ataques recientes, el grupo utilizó una variante de ransomware llamada Embargo.
Ban es una raza relativamente nueva, desarrollada en la ciudad de Rust. Los investigadores de Microsoft afirmaron que utiliza métodos de cifrado avanzados y opera en un modelo RaaS (lo que significa que otra persona desarrolla y mantiene el software de cifrado y, por lo tanto, obtiene una parte del botín final). Mientras usa Embargo, Storm-0501 sigue la vieja y probada táctica de doble extorsión, donde primero roban los archivos de la víctima y luego cifran el resto, amenazando con filtrarlos en línea a menos que la víctima pague un rescate.
En los casos analizados por Microsoft, Storm-0501 aprovechó las cuentas de administrador de dominio comprometidas e implementó Embargo mediante tareas programadas. Los nombres de los archivos binarios de ransomware que se utilizaron son PostalScanImporter.exe y win.exe. Las extensiones de archivos cifrados eran .partial, .564ba1 y .embargo.
También vale la pena señalar que Storm-0501 a veces se abstiene de implementar el software de cifrado y solo reserva el acceso a la red.