Storm-0501: Compromete Entornos de Nube y Sistemas Locales con Ransomware

Las organizaciones enfrentan nuevos desafíos a diario. Recientemente, Microsoft reveló un nuevo jugador en el campo de las ciberamenazas: Storm-0501, una filial de varias organizaciones de ransomware como servicio (RaaS) de alto perfil. Este grupo ha estado comprometiendo tanto entornos de nube como sistemas locales de sus objetivos, utilizando tácticas que explotan vulnerabilidades comunes, credenciales débiles y cuentas con privilegios excesivos. En este artículo, exploraremos las tácticas y técnicas de Storm-0501 y cómo las organizaciones pueden protegerse de este creciente riesgo.

¿Quién es Storm-0501?

Storm-0501 es un actor de amenazas que ha estado activo durante más de tres años. En ese tiempo, ha trabajado con bandas de ransomware notorias como Hive, BlackHat, LockBit y Hunters International. Recientemente, el grupo ha comenzado a desplegar un nuevo ransomware llamado Embargo, que tiene como objetivo sistemas locales y entornos en la nube de empresas.

Microsoft compartió detalles preocupantes sobre Storm-0501, señalando que el grupo utiliza credenciales robadas y vulnerabilidades en cuentas con privilegios excesivos para pasar de entornos locales a la nube, comprometiendo así la infraestructura crítica de las organizaciones. Al comprometer cuentas, logran obtener el control total de la red y crear puertas traseras persistentes en los entornos de nube.

Tácticas y Técnicas Comunes

Storm-0501 no es innovador en cuanto a sus métodos, pero su éxito radica en la explotación eficiente de vulnerabilidades conocidas. Las tácticas más comunes que emplean incluyen:

1. Acceso Inicial: Aprovechan credenciales robadas o exploits de n-day (vulnerabilidades conocidas sin parches aplicados) contra aplicaciones y dispositivos públicos. Ejemplos de esto incluyen vulnerabilidades en Zoho ManageEngine ServiceDesk Plus y Citrix NetScaler ADC y Gateway.
2. Reconocimiento de Red: Una vez dentro, el grupo realiza un reconocimiento detallado de la red para identificar activos de alto valor, como los usuarios del administrador de dominio y la confianza del bosque de dominio. Utilizan herramientas nativas de Windows y herramientas de código abierto para llevar a cabo esta fase.
3. Herramientas de Gestión Remota: Storm-0501 implementa herramientas de gestión y monitoreo remotas como AnyDesk y NinjaOne, que les permiten mantenerse conectados a los sistemas comprometidos.
4. Compromiso de Credenciales: El grupo se esfuerza por obtener tantas credenciales como sea posible, utilizando herramientas como Impacket y técnicas de fuerza bruta. También recolectan secretos de KeePass y otras aplicaciones de administración de contraseñas.
5. Movimiento Lateral: Utilizan Cobalt Strike y credenciales comprometidas para moverse lateralmente dentro de la red, incluyendo el acceso a servidores y controladores de dominio.
6. Exfiltración de Datos: Para la exfiltración de datos, utilizan herramientas como Rclone antes de implementar el ransomware Embargo mediante tareas programadas y políticas de objetos de directiva de grupo (GPO).

Compromiso de Entornos de Nube

Lo que distingue a Storm-0501 de otros grupos es su capacidad para comprometer entornos de nube utilizando las credenciales de Microsoft Entra ID (anteriormente conocido como Azure AD). Esto lo logran a través de dos enfoques principales:

1. Compromiso de Cuentas de Sincronización de Microsoft Entra Connect: Las cuentas de sincronización de Microsoft Entra Connect se sincronizan entre entornos locales y la nube. El grupo ha sido capaz de comprometer estas cuentas, robándolas directamente del servidor o extrayendo credenciales de texto sin formato.
2. Secuestro de Cuentas de Usuarios Híbridos: En algunos casos, Storm-0501 ha secuestrado cuentas de usuario locales que también están vinculadas a Microsoft Entra ID, permitiéndoles acceder tanto al entorno local como al de nube.

El Peligro de las Cuentas Sin MFA

Una de las tácticas más comunes observadas en los ataques de Storm-0501 es el compromiso de cuentas de administrador de dominio que no tienen habilitada la autenticación multifactor (MFA). Esto permite a los atacantes acceder fácilmente a los sistemas comprometidos, y en algunos casos, cambiar las contraseñas o secuestrar las sesiones de usuario.

En los ataques más recientes, se observó cómo el grupo logró crear un dominio federado en el inquilino comprometido, utilizando comandos de AADInternals para crear tokens SAML. Estos tokens permitieron al grupo hacerse pasar por cualquier usuario dentro de la organización, eludir la MFA y acceder a aplicaciones como Office 365 sin ser detectados.

Medidas de Mitigación y Protección

Dado el sofisticado enfoque de Storm-0501, es crucial que las organizaciones adopten un enfoque de seguridad por capas para mitigar el riesgo de ataques. Algunas de las mejores prácticas incluyen:

1. Implementar MFA en todas las cuentas: La autenticación multifactor es una de las defensas más efectivas contra el secuestro de cuentas. Incluso si un atacante roba credenciales, la MFA puede impedir el acceso no autorizado.
2. Monitoreo de Actividades en la Nube: Las organizaciones deben implementar monitoreo continuo en sus entornos de nube, prestando especial atención a actividades sospechosas, como la creación de dominios federados o cambios no autorizados en la configuración de la nube.
3. Protección de Credenciales: Los administradores deben proteger las cuentas críticas de sincronización y asegurarse de que las contraseñas no sean las mismas en el entorno local y en la nube.
4. Aplicación de Parches y Actualizaciones: Es vital que las organizaciones apliquen parches a sus sistemas y aplicaciones de manera oportuna, evitando así la explotación de vulnerabilidades conocidas.

Storm-0501 ha demostrado ser un adversario formidable, explotando tanto entornos locales como de nube para maximizar el daño a sus víctimas. Aunque las técnicas que utilizan no son innovadoras, su enfoque coordinado y la explotación de vulnerabilidades comunes los ha convertido en una amenaza significativa. Las organizaciones deben mantenerse alertas y aplicar las mejores prácticas de seguridad para mitigar los riesgos y evitar convertirse en la próxima víctima.

#Ciberseguridad? #Ransomware? #AmenazasDigitales⚠️ #Storm0501? #MicrosoftEntra? #CiberAtaques? #ProtecciónDeDatos? #SeguridadEnLaNube☁️ #TécnicasDeHacking?‍? #PrevenciónDeAmenazas?