Cybersicherheitsexperten von Microsoft haben kürzlich eine signifikante Änderung in der Vorgehensweise der Ransomware-Gruppe Storm-0501 festgestellt. Die seit 2021 aktive Hackergruppe hat ihre Angriffsstrategie angepasst und fokussiert sich nun verstärkt auf hybride Cloud-Umgebungen. Diese Entwicklung stellt eine ernsthafte Bedrohung für Unternehmen und Organisationen dar, die sowohl lokale als auch Cloud-basierte Infrastrukturen nutzen.
Neue Ziele und Taktiken von Storm-0501
Storm-0501, ursprünglich bekannt für die Verbreitung der Sabbath-Ransomware, hat ihr Repertoire erweitert und setzt nun die in Rust programmierte Malware „Embargo“ ein. Die Gruppe zielt vorwiegend auf kritische Infrastrukturen ab, darunter Krankenhäuser, Regierungsbehörden, Produktions- und Logistikunternehmen sowie Strafverfolgungsbehörden in den USA. Diese Fokussierung unterstreicht die potenzielle Gefahr für die öffentliche Sicherheit und wirtschaftliche Stabilität.
Angriffsvektoren und Exploits
Die Cyberkriminellen nutzen eine Kombination aus gestohlenen Zugangsdaten und bekannten Sicherheitslücken, um in die Systeme ihrer Opfer einzudringen. Zu den kürzlich ausgenutzen Schwachstellen gehören:
- CVE-2022-47966 in Zoho ManageEngine
- CVE-2023-4966 in Citrix NetScaler
- CVE-2023-29300 und CVE-2023-38203 in ColdFusion 2016
Nach der initialen Kompromittierung setzen die Angreifer fortschrittliche Hacking-Tools wie Impacket und Cobalt Strike ein, um sich lateral im Netzwerk zu bewegen. Sie deaktivieren Sicherheitsmechanismen mittels PowerShell-Befehlen und exfiltrieren sensible Daten mit einem maßgeschneiderten Rclone-Binary, das sich als legitimes Windows-Tool tarnt.
Ausnutzung von Microsoft Entra ID
Ein besonders besorgniserregender Aspekt der neuen Taktik von Storm-0501 ist die gezielte Ausnutzung von Microsoft Entra ID (früher Azure AD). Die Angreifer kompromittieren Synchronisationskonten und nutzen gestohlene Anmeldeinformationen, um von der lokalen Umgebung in die Cloud zu gelangen. Dabei missbrauchen sie insbesondere die weitreichenden Berechtigungen von Microsoft Entra Connect Sync-Konten, die für die Synchronisation zwischen lokaler Active Directory und Cloud-basierter Microsoft Entra ID verantwortlich sind.
Methoden zur Umgehung von Sicherheitsmaßnahmen
Die Hacker setzen spezialisierte Tools wie AADInternals ein, um Cloud-Passwörter zu ändern und zusätzliche Sicherheitsmaßnahmen zu umgehen. Besonders gefährdet sind Konten mit hohen Privilegien, die sowohl in der lokalen als auch in der Cloud-Umgebung existieren, aber nicht ausreichend geschützt sind, beispielsweise durch fehlende Multifaktor-Authentifizierung.
Persistenz und Datenverschlüsselung
Nach erfolgreicher Infiltration der Cloud-Infrastruktur etablieren die Angreifer einen dauerhaften Backdoor-Zugang. Dies geschieht durch die Erstellung einer neuen föderierten Domäne innerhalb des Microsoft Entra-Tenants, was ihnen die Authentifizierung als beliebiger Benutzer ermöglicht. Im finalen Schritt wird entweder die Embargo-Ransomware in lokalen und Cloud-Umgebungen des Opfers eingesetzt oder der Backdoor-Zugang für spätere Angriffe aufbewahrt.
Diese neue Strategie von Storm-0501 verdeutlicht die wachsende Komplexität von Cyberangriffen auf hybride Infrastrukturen. Unternehmen müssen ihre Sicherheitsmaßnahmen dringend überprüfen und verstärken, insbesondere an den Schnittstellen zwischen lokalen und Cloud-basierten Systemen. Eine mehrschichtige Sicherheitsstrategie, regelmäßige Sicherheitsaudits und die konsequente Implementierung von Best Practices wie Multifaktor-Authentifizierung sind unerlässlich, um die Widerstandsfähigkeit gegen solch fortschrittliche Bedrohungen zu erhöhen.