Actor de amenaza Storm-0501

El grupo cibercriminal conocido como Storm-0501 se ha centrado específicamente en sectores como el gobierno, la industria manufacturera, el transporte y la aplicación de la ley en los Estados Unidos para ejecutar sus ataques de ransomware. Su campaña de varias etapas tiene como objetivo infiltrarse en entornos de nube híbridos, lo que facilita el movimiento lateral desde los sistemas locales a las infraestructuras de la nube. Esta estrategia, en última instancia, conduce a varios resultados maliciosos, incluida la exfiltración de datos, el robo de credenciales, la manipulación, el acceso persistente por puerta trasera y la implementación de ransomware.

La evolución de la tormenta 0501

Storm-0501 opera con motivaciones financieras como base de sus actividades, utilizando herramientas comerciales y de código abierto para llevar a cabo sus operaciones de ransomware. Activo desde 2021, este grupo inicialmente atacó a instituciones educativas utilizando el ransomware Sabbath (54bb47h). Con el tiempo, han hecho la transición a un modelo de ransomware como servicio (RaaS), proporcionando una variedad de cargas útiles de ransomware. Su repertorio ahora incluye varias cepas notorias como Hive, BlackCat (ALPHV), Hunters International , LockBit y Embargo Ransomware .

Vectores de ataque iniciales utilizados por Storm-0501

Una característica importante de las operaciones de Storm-0501 es la explotación de credenciales débiles y cuentas con demasiados privilegios, lo que les permite realizar la transición de los sistemas locales de una organización a las infraestructuras en la nube sin problemas.

Además, emplean varios métodos de acceso inicial, como aprovechar los puntos de apoyo establecidos por intermediarios de acceso como Storm-0249 y Storm-0900. También atacan servidores conectados a Internet sin parches, explotando vulnerabilidades conocidas de ejecución remota de código en plataformas como Zoho ManageEngine, Citrix NetScaler y Adobe ColdFusion 2016.

Al utilizar cualquiera de estos métodos, Storm-0501 obtiene la oportunidad de realizar un reconocimiento exhaustivo, lo que le permite identificar activos de alto valor, recopilar información de dominio y realizar investigaciones de Active Directory. Esta fase suele ir seguida de la instalación de herramientas de supervisión y gestión remotas (RMM) para garantizar el acceso continuo y la persistencia.

Explotación de privilegios por parte de Storm-0501

El actor de amenazas aprovechó los privilegios administrativos obtenidos de los dispositivos locales comprometidos durante la fase de acceso inicial, intentando expandir su alcance dentro de la red a través de varios métodos. Principalmente, emplearon el módulo SecretsDump de Impacket, que facilita la extracción de credenciales a través de la red, aprovechándolo en una amplia gama de dispositivos para recopilar información valiosa de inicio de sesión.

Una vez que obtuvieron estas credenciales comprometidas, el actor de amenazas las utilizó para infiltrarse en dispositivos adicionales y extraer más credenciales. Durante este proceso, accedieron a archivos confidenciales para recuperar secretos de KeePass y ejecutaron ataques de fuerza bruta para obtener credenciales para cuentas específicas.

Movimiento lateral y exfiltración de datos

Los investigadores observaron que Storm-0501 utilizaba Cobalt Strike para desplazarse lateralmente dentro de la red, empleando las credenciales robadas para ejecutar comandos posteriores. Para la exfiltración de datos del entorno local, utilizaron Rclone para transferir datos confidenciales al servicio de almacenamiento en la nube pública MegaSync.

Además, el actor de amenazas se ha destacado por establecer accesos persistentes de puerta trasera a entornos de nube e implementar ransomware en sistemas locales. Esto lo convierte en el último actor de amenazas en centrarse en configuraciones de nube híbrida, siguiendo los pasos de grupos como Octo Tempest y Manatee Tempest.

Apuntando a la nube

El actor de amenazas aprovechó las credenciales obtenidas, en particular las de Microsoft Entra ID (anteriormente Azure AD), para facilitar el movimiento lateral desde los sistemas locales a los entornos de nube, estableciendo una puerta trasera persistente para el acceso continuo a la red objetivo.

Esta transición a la nube generalmente se logra a través de una cuenta de usuario de Microsoft Entra Connect Sync comprometida o secuestrando la sesión de una cuenta de usuario local que posee una cuenta de administrador en la nube, en particular si la autenticación multifactor (MFA) está deshabilitada.

Despliegue del ransomware Embargo

El ataque culmina con la implementación del ransomware Embargo en toda la organización víctima una vez que el actor de la amenaza ha obtenido suficiente control sobre la red y ha exfiltrado con éxito los archivos de interés. Embargo, una variante del ransomware basada en Rust, se identificó por primera vez en mayo de 2024.

El grupo que está detrás de Embargo, que opera bajo un modelo de ransomware como servicio (RaaS), permite a afiliados como Storm-0501 utilizar su plataforma para lanzar ataques a cambio de un porcentaje del rescate. Los afiliados de Embargo emplean tácticas de doble extorsión, cifrando los archivos de la víctima y amenazando simultáneamente con liberar los datos confidenciales obtenidos a menos que se pague el rescate.