Bedrohungsakteur Storm-0501
Die als Storm-0501 bekannte Cyberkriminellengruppe hat sich speziell auf Sektoren wie Regierung, Fertigung, Transport und Strafverfolgung in den Vereinigten Staaten konzentriert, um ihre Ransomware-Angriffe auszuführen. Ihre mehrstufige Kampagne zielt darauf ab, hybride Cloud-Umgebungen zu infiltrieren und die laterale Bewegung von lokalen Systemen zu Cloud-Infrastrukturen zu ermöglichen. Diese Strategie führt letztendlich zu verschiedenen bösartigen Ergebnissen, darunter Datenexfiltration, Diebstahl von Anmeldeinformationen, Manipulation, dauerhafter Backdoor-Zugriff und die Bereitstellung von Ransomware.
Inhaltsverzeichnis
Die Entwicklung von Storm-0501
Storm-0501 verfolgt einen finanziellen Zweck und verwendet sowohl kommerzielle als auch Open-Source-Tools für seine Ransomware-Operationen. Die seit 2021 aktive Gruppe zielte zunächst mit der Sabbath-Ransomware (54bb47h) auf Bildungseinrichtungen ab. Im Laufe der Zeit sind sie zu einem Ransomware-as-a-Service-Modell (RaaS) übergegangen, das eine Reihe von Ransomware-Payloads bereitstellt. Ihr Repertoire umfasst mittlerweile verschiedene berüchtigte Varianten wie Hive, BlackCat (ALPHV), Hunters International , LockBit und die Embargo-Ransomware .
Von Storm-0501 verwendete erste Angriffsvektoren
Ein wesentliches Merkmal der Operationen von Storm-0501 ist die Ausnutzung schwacher Anmeldeinformationen und überprivilegierter Konten, was ihnen einen nahtlosen Übergang von den lokalen Systemen einer Organisation zu Cloud-Infrastrukturen ermöglicht.
Darüber hinaus nutzen sie verschiedene Methoden, um sich den ersten Zugriff zu verschaffen, beispielsweise indem sie sich Zugangspunkte zunutze machen, die von Access Brokern wie Storm-0249 und Storm-0900 geschaffen wurden. Sie zielen auch auf ungepatchte, mit dem Internet verbundene Server ab und nutzen bekannte Schwachstellen zur Remote-Codeausführung in Plattformen wie Zoho ManageEngine, Citrix NetScaler und Adobe ColdFusion 2016 aus.
Durch den Einsatz dieser Methoden erhält Storm-0501 die Möglichkeit, umfassende Aufklärungsarbeit zu leisten, wertvolle Vermögenswerte zu identifizieren, Domäneninformationen zu sammeln und Active Directory-Untersuchungen durchzuführen. Auf diese Phase folgt normalerweise die Installation von Remote-Monitoring- und -Management-Tools (RMMs), um kontinuierlichen Zugriff und Persistenz sicherzustellen.
Privilegienausnutzung durch Storm-0501
Der Bedrohungsakteur nutzte die Administratorrechte, die er während der ersten Zugriffsphase von kompromittierten lokalen Geräten erlangt hatte, und versuchte, seinen Einflussbereich im Netzwerk mithilfe verschiedener Methoden auszuweiten. In erster Linie nutzte er das SecretsDump-Modul von Impacket, das die Extraktion von Anmeldeinformationen über das Netzwerk erleichtert, und nutzte es auf einer Vielzahl von Geräten, um wertvolle Anmeldeinformationen zu sammeln.
Nachdem die Angreifer diese kompromittierten Zugangsdaten in ihren Besitz gebracht hatten, nutzten sie diese, um weitere Geräte zu infiltrieren und weitere Zugangsdaten zu extrahieren. Dabei griffen sie auf vertrauliche Dateien zu, um KeePass-Geheimnisse abzurufen, und führten Brute-Force-Angriffe aus, um Zugangsdaten für die Zielkonten zu erhalten.
Laterale Bewegung und Datenexfiltration
Forscher haben beobachtet, wie Storm-0501 Cobalt Strike für die laterale Bewegung innerhalb des Netzwerks nutzte und die gestohlenen Anmeldeinformationen verwendete, um Folgebefehle auszuführen. Für die Datenexfiltration aus der lokalen Umgebung nutzten sie Rclone, um vertrauliche Daten auf den öffentlichen Cloud-Speicherdienst MegaSync zu übertragen.
Darüber hinaus ist der Bedrohungsakteur dafür bekannt, dass er sich einen dauerhaften Hintertürzugriff auf Cloud-Umgebungen verschafft und Ransomware auf lokalen Systemen einsetzt. Damit ist er der neueste Bedrohungsakteur, der sich auf Hybrid-Cloud-Setups konzentriert und in die Fußstapfen von Gruppen wie Octo Tempest und Manatee Tempest tritt.
Die Cloud im Visier
Der Bedrohungsakteur nutzte die gesammelten Anmeldeinformationen, insbesondere jene von Microsoft Entra ID (früher Azure AD), um die laterale Bewegung von lokalen Systemen in Cloud-Umgebungen zu erleichtern, und richtete so eine dauerhafte Hintertür für den fortlaufenden Zugriff auf das Zielnetzwerk ein.
Dieser Übergang zur Cloud wird normalerweise entweder über ein kompromittiertes Microsoft Entra Connect Sync-Benutzerkonto oder durch die Entführung der Sitzung eines lokalen Benutzerkontos erreicht, das über ein Administratorkonto in der Cloud verfügt, insbesondere wenn die Multi-Faktor-Authentifizierung (MFA) deaktiviert ist.
Bereitstellung der Embargo Ransomware
Der Angriff gipfelt in der Bereitstellung der Embargo-Ransomware in der gesamten Opferorganisation, sobald der Bedrohungsakteur ausreichend Kontrolle über das Netzwerk erlangt und erfolgreich relevante Dateien exfiltriert hat. Embargo, eine auf Rust basierende Ransomware-Variante, wurde erstmals im Mai 2024 identifiziert.
Die Gruppe hinter Embargo arbeitet mit einem Ransomware-as-a-Service-Modell (RaaS) und erlaubt Partnern wie Storm-0501, ihre Plattform für Angriffe zu nutzen, im Austausch für einen Prozentsatz des Lösegelds. Die Embargo-Partner wenden eine doppelte Erpressungstaktik an: Sie verschlüsseln die Dateien eines Opfers und drohen gleichzeitig damit, die gesammelten sensiblen Daten freizugeben, wenn das Lösegeld nicht bezahlt wird.
