Acteur de la menace Storm-0501
Le groupe de cybercriminels connu sous le nom de Storm-0501 s'est concentré spécifiquement sur des secteurs tels que le gouvernement, l'industrie manufacturière, les transports et les forces de l'ordre aux États-Unis pour exécuter ses attaques de ransomware. Leur campagne en plusieurs étapes vise à infiltrer des environnements de cloud hybride, facilitant le mouvement latéral des systèmes sur site vers les infrastructures de cloud. Cette stratégie conduit finalement à divers résultats malveillants, notamment l'exfiltration de données, le vol d'identifiants, la falsification, l'accès persistant par porte dérobée et le déploiement de ransomware.
Table des matières
L'évolution de Storm-0501
Storm-0501 opère avec des motivations financières au cœur de ses activités, utilisant à la fois des outils commerciaux et open source pour mener à bien ses opérations de ransomware. Actif depuis 2021, ce groupe ciblait initialement les établissements d'enseignement en utilisant le ransomware Sabbath (54bb47h). Au fil du temps, ils sont passés à un modèle de ransomware en tant que service (RaaS), fournissant une gamme de charges utiles de ransomware. Leur répertoire comprend désormais diverses souches notoires telles que Hive, BlackCat (ALPHV), Hunters International , LockBit et le ransomware Embargo .
Vecteurs d'attaque initiaux utilisés par Storm-0501
L’une des caractéristiques importantes des opérations de Storm-0501 est l’exploitation d’informations d’identification faibles et de comptes surprivilégiés, ce qui leur permet de passer des systèmes sur site d’une organisation aux infrastructures cloud de manière transparente.
En outre, ils utilisent diverses méthodes d'accès initiales, comme l'exploitation des points d'ancrage établis par des courtiers d'accès comme Storm-0249 et Storm-0900. Ils ciblent également les serveurs connectés à Internet non corrigés, en exploitant les vulnérabilités d'exécution de code à distance connues dans des plateformes comme Zoho ManageEngine, Citrix NetScaler et Adobe ColdFusion 2016.
En utilisant l'une de ces méthodes, Storm-0501 a la possibilité de mener une reconnaissance approfondie, ce qui lui permet d'identifier les actifs de grande valeur, de collecter des informations sur les domaines et d'effectuer des enquêtes sur Active Directory. Cette phase est généralement suivie de l'installation d'outils de surveillance et de gestion à distance (RMM) pour garantir un accès et une persistance continus.
Exploitation des privilèges par Storm-0501
L'acteur malveillant a profité des privilèges administratifs obtenus à partir des appareils locaux compromis lors de la phase d'accès initiale, tentant d'étendre sa portée au sein du réseau par diverses méthodes. Il a principalement utilisé le module SecretsDump d'Impacket, qui facilite l'extraction des informations d'identification sur le réseau, en l'exploitant sur un large éventail d'appareils pour recueillir des informations de connexion précieuses.
Une fois ces identifiants compromis récupérés, l'acteur malveillant les a utilisés pour infiltrer d'autres appareils et extraire davantage d'identifiants. Au cours de ce processus, ils ont accédé à des fichiers sensibles pour récupérer des secrets KeePass et ont exécuté des attaques par force brute pour obtenir des identifiants pour les comptes ciblés.
Mouvement latéral et exfiltration de données
Les chercheurs ont observé que Storm-0501 utilisait Cobalt Strike pour se déplacer latéralement au sein du réseau, en utilisant les informations d'identification volées pour exécuter des commandes de suivi. Pour l'exfiltration des données de l'environnement sur site, ils ont utilisé Rclone pour transférer les données sensibles vers le service de stockage cloud public MegaSync.
En outre, l'acteur malveillant a été remarqué pour avoir établi un accès persistant par porte dérobée aux environnements cloud et pour avoir déployé des ransomwares sur les systèmes sur site. Il s'agit du dernier acteur malveillant en date à se concentrer sur les configurations de cloud hybride, suivant les traces de groupes comme Octo Tempest et Manatee Tempest.
Cibler le Cloud
L'acteur de la menace a exploité les informations d'identification récoltées, en particulier celles de Microsoft Entra ID (anciennement Azure AD), pour faciliter le mouvement latéral des systèmes sur site vers les environnements cloud, établissant ainsi une porte dérobée persistante pour un accès continu au réseau cible.
Cette transition vers le cloud s'effectue généralement via un compte utilisateur Microsoft Entra Connect Sync compromis ou en détournant la session d'un compte utilisateur local qui possède un compte administrateur dans le cloud, en particulier si l'authentification multifacteur (MFA) est désactivée.
Déploiement du ransomware Embargo
L'attaque culmine avec le déploiement du ransomware Embargo dans toute l'organisation victime une fois que l'acteur de la menace a obtenu un contrôle suffisant sur le réseau et a réussi à exfiltrer les fichiers d'intérêt. Embargo, une variante du ransomware basée sur Rust, a été identifiée pour la première fois en mai 2024.
Fonctionnant selon un modèle de Ransomware-as-a-Service (RaaS), le groupe à l'origine d'Embargo permet à des affiliés comme Storm-0501 d'utiliser sa plateforme pour lancer des attaques en échange d'un pourcentage de la rançon. Les affiliés d'Embargo emploient des tactiques de double extorsion, en cryptant les fichiers d'une victime tout en menaçant simultanément de divulguer les données sensibles collectées à moins que la rançon ne soit payée.
