Ransomware Embargo aumenta ataques a ambientes de nuvem.
A Microsoft alerta que o agente de ameaças de ransomware Storm-0501 mudou recentemente de tática e agora tem como alvo ambientes de nuvem híbrida, expandindo sua estratégia para comprometer todos os ativos das vítimas.
O agente da ameaça surgiu pela primeira vez em 2021 como um afiliado de ransomware para a operação de ransomware Sabbath. Mais tarde, eles começaram a implantar malware de criptografia de arquivos das gangues Hive, BlackCat, LockBit e Hunters International. Recentemente, eles foram observados implantando o ransomware Embargo.
Os ataques recentes do Storm-0501 tiveram como alvo hospitais, governo, organizações de manufatura e transporte e agências de aplicação da lei nos Estados Unidos.
Fluxo de ataque da Tempestade-0501
O invasor obtém acesso a ambientes de nuvem explorando credenciais fracas e aproveitando contas privilegiadas, com o objetivo de roubar dados e executar uma carga útil de ransomware.
A Microsoft explica que o Storm-0501 obtém acesso inicial à rede com credenciais roubadas ou compradas, ou explorando vulnerabilidades conhecidas.
Algumas das falhas usadas em ataques recentes são CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler) e possivelmente CVE-2023-29300 ou CVE-2023-38203 (ColdFusion 2016).
O adversário se move lateralmente usando estruturas como Impacket e Cobalt Strike, rouba dados por meio de um binário Rclone personalizado renomeado para imitar uma ferramenta do Windows e desabilita agentes de segurança com cmdlets do PowerShell.
Ao aproveitar as credenciais roubadas do Microsoft Entra ID (anteriormente Azure AD), o Storm-0501 passa de ambientes locais para ambientes de nuvem, comprometendo contas de sincronização e sequestrando sessões para persistência.
As contas do Microsoft Entra Connect Sync são cruciais para sincronizar dados entre o Active Directory (AD) local e a ID do Microsoft Entra baseada em nuvem e normalmente permitem uma ampla variedade de ações confidenciais.
Se os invasores possuírem as credenciais da conta de sincronização de diretório, eles poderão usar ferramentas especializadas como AADInternals para alterar as senhas da nuvem, ignorando assim as proteções adicionais.
Se um administrador de domínio ou outra conta local com altos privilégios também existir no ambiente de nuvem e não tiver proteções adequadas (por exemplo, autenticação multifator), o Storm-0501 poderá usar as mesmas credenciais para acessar a nuvem novamente.
Depois de obter acesso à infraestrutura de nuvem, o agente da ameaça planta um backdoor persistente criando um novo domínio federado no locatário do Microsoft Entra, o que permite que eles se autentiquem como qualquer usuário para o qual a propriedade “Immutableid” seja conhecida ou definida por eles.
Na etapa final, os invasores implantarão o ransomware Embargo nos ambientes locais e na nuvem da vítima ou manterão o acesso backdoor para um momento posterior.
“Observamos que o agente da ameaça nem sempre recorreu à distribuição de ransomware e, em alguns casos, apenas manteve o acesso backdoor à rede”, disse a Microsoft.
A carga útil do ransomware é implantada usando contas comprometidas, como Administrador de Domínio, por meio de tarefas agendadas ou Objetos de Política de Grupo (GPOs) para criptografar arquivos nos dispositivos da organização.
Atividade do ransomware Embargo
O grupo de ameaças Embargo usa malware baseado em Rust para executar sua operação de ransomware como serviço (RaaS) que aceita afiliados que violam empresas para implantar a carga útil e compartilhar parte do lucro com os desenvolvedores.
Em agosto de 2024, uma afiliada do ransomware Embargo atingiu a American Radio Relay League (ARRL) e recebeu US$ 1 milhão em troca de um decodificador funcional.
No início deste ano, em maio, uma afiliada do Embargo violou a Firstmac Limited, uma das maiores empresas de empréstimos hipotecários e gestão de investimentos da Austrália, e vazou 500 GB de dados confidenciais roubados quando o prazo para negociar uma solução foi atingido.
Fonte: BleepingComputer
Veja também:
- Organizações Educacionais pagaram resgate mais alto que o exigido
- Maioria das organizações enfrentam incidentes de segurança na nuvem
- Ucrânia proíbe uso Telegram no governo
- Microsoft encerra desenvolvimento do Windows Server Update Services (WSUS)
- Como gerenciar o Shadow TI e reduzir sua superfície de ataque
- Hackers usam malware Supershell para atacar servidores Linux
- Phishing e tensões geopolíticas ameaçam setor financeiros
- Risco de vazamento do ServiceNow expõe milhares de empresas
- Intel alerta sobre 20+ vulnerabilidades
- Governo Federal registra recorde de vazamentos de dados em 2024
- Phishing explora scripts de aplicativos do Google
- AWS WAF vs. Cloudflare
Deixe sua opinião!