Los adversarios se han dado cuenta de la complejidad que enfrentan los equipos de ciberseguridad para proteger los entornos de nube híbrida; el último es un grupo particularmente nefasto conocido como “Storm-0501”, una operación de acaparamiento de datos que habitualmente apunta a las organizaciones más vulnerables, incluidas escuelas y hospitales. y aplicación de la ley en todo Estados Unidos.
Storm-0501 existe desde 2021, según un nuevo informe de Microsoft Threat Intelligence, y opera como afiliado de una variedad de cepas de ransomware como servicio (RaaS), incluidas Gato negro/ALPHV, Bit de bloqueoy embargo.
Microsoft ha observado notablemente un cambio de enfoque por parte del grupo de ransomware. Storm-0501, que alguna vez dependió de la compra de acceso inicial a intermediarios, recientemente ha tenido éxito en operar entornos de nube híbrida con contraseñas débiles y cuentas con privilegios excesivos. Primero ingresan al entorno local de un objetivo y luego giran para profundizar en la nube, como lo demuestra una campaña dirigida exitosamente a las credenciales de Entra ID.
Grieta de credenciales de Microsoft Entra Connect
El equipo de Microsoft detalló un ataque reciente por parte de actores de la amenaza Storm-0501 que utilizaron credenciales comprometidas para obtener acceso. ID de entrada de Microsoft (anteriormente Azure AD). Esta aplicación local de Microsoft es responsable de sincronizar contraseñas y otros datos confidenciales entre Active Directory y los objetos Entra ID, lo que esencialmente permite que un usuario inicie sesión en entornos locales y en la nube utilizando las mismas credenciales.
Una vez que Storm-0501 pudo moverse lateralmente en la nube, pudo manipular y exfiltrar datos, configurar un acceso persistente por puerta trasera e implementar ransomware, advierte el informe.
“Podemos evaluar con alta certeza que durante la reciente campaña Storm-0501, el actor de amenazas ubicó específicamente servidores Microsoft Entra Connect Sync y extrajo con éxito credenciales de texto sin formato de la nube de Microsoft Entra Connect y de las cuentas de sincronización locales”, informó Microsoft. . “Tras el compromiso de la cuenta de sincronización del directorio en la nube, el actor de la amenaza puede autenticarse utilizando las credenciales de texto sin cifrar y obtener un token de acceso de Microsoft Graph”.
Desde allí, un atacante puede cambiar libremente las contraseñas de Microsoft Entra ID de cualquier cuenta híbrida sincronizada.
Pero esa no es la única manera que estos cibercriminales han encontrado para pasar de una cuenta Entra ID comprometida a la nube. La segunda estrategia es más complicada, como explicó Microsoft, y se basa en violar una cuenta de administrador de dominio con un Entra ID correlacionado designado con permisos de administrador global. Además, la autenticación multifactor (MFA) debe estar desactivada en la cuenta para que los atacantes tengan éxito.
“Es importante mencionar que el servicio de sincronización no está disponible para cuentas administrativas en Microsoft Entra, por lo tanto, en este caso, las contraseñas y otros datos no se sincronizan desde la cuenta local a la cuenta de Microsoft Entra”, dijo Microsoft. “Sin embargo, si las contraseñas de ambas cuentas son las mismas o se pueden obtener mediante técnicas de robo de credenciales locales (es decir, almacenar contraseñas del navegador web), entonces el pivote es posible”.
Una vez que llegó, Storm-0501 se dispuso a configurar un acceso de puerta trasera persistente para más adelante, trabajando para obtener el control de la red y garantizar el movimiento lateral a la nube, informó Microsoft. Una vez hecho esto, extrajeron los archivos que querían y desplegaron Embargo. ransomware en toda la organización.
“En los casos observados por Microsoft, el actor de amenazas aprovechó las cuentas de administrador de dominio comprometidas para distribuir el ransomware Embargo a través de una tarea programada llamada ‘SysUpdate’ que se registró a través de GPO en dispositivos de red”, según el informe de Microsoft.
Las dos versiones separadas de los ataques contra la aplicación Entra ID de Microsoft demuestran que los ciberdelincuentes de oportunidad se han centrado en los entornos de nube híbrida y sus grandes superficies de ataque como victorias fáciles.
Protección de la nube híbrida contra los ataques Storm-0501
“A medida que los entornos de nube híbrida se vuelven más frecuentes, el desafío de proteger los recursos en múltiples plataformas se vuelve cada vez más crítico para las organizaciones. » El equipo de amenazas Intel de Microsoft advirtió.
Los equipos de ciberseguridad empresarial pueden lograr esto si continúan evolucionando hacia marco de confianza cerosegún un comunicado de Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security.
“Este modelo restringe el acceso basándose en una verificación continua, asegurando que los usuarios sólo tengan acceso a los recursos esenciales para sus funciones específicas, minimizando así la exposición a actores maliciosos”, explicó Tiquet por correo electrónico. “Las credenciales débiles siguen siendo uno de los puntos de entrada más vulnerables a los entornos de nube híbrida, y es probable que grupos como Storm-0501 las aprovechen. »
La centralización de la gestión de terminales (EDM) también es “esencial”, afirmó. “Garantizar parches de seguridad consistentes en todos los entornos, ya sea en la nube o en las instalaciones, evita que los atacantes aprovechen las vulnerabilidades conocidas”.
El monitoreo avanzado ayudará a los equipos a detectar amenazas potenciales en todas partes entornos de nube híbrida antes de que puedan convertirse en una infracción, añadió.
Stephen Kowski, director técnico de campo de SlashNext Security, se hizo eco de muchas de las mismas recomendaciones en una declaración enviada por correo electrónico.
“Este informe destaca la necesidad crítica de medidas de seguridad sólidas en entornos de nube híbrida”, dijo Kowski. “Los equipos de seguridad deben priorizar el fortalecimiento de la gestión de identidades y accesos, implementar principios de privilegios mínimos y garantizar parches oportunos para los sistemas conectados a Internet. »
Además, sugirió fortalecer la seguridad para proteger contra intentos de acceso temprano.
“La implementación de soluciones avanzadas de seguridad para el correo electrónico y la mensajería puede ayudar a prevenir intentos de acceso temprano mediante tácticas de phishing o ingeniería social que a menudo sirven como puntos de entrada para estos ataques sofisticados”, añadió.