Los ciberdelincuentes se dirigen a las plataformas de nube híbrida con una novedad preocupante ransomware cepa, microsoft Los investigadores de seguridad han revelado.
Los expertos en inteligencia de amenazas de la empresa han publicado un nuevo publicación de blog Advertencia de Storm-0501, un grupo afiliado de ransomware activo desde 2021.
El equipo advirtió que Storm-0501 se dirige a diferentes verticales en los Estados Unidos, desde el gobierno, la fabricación, el transporte y las fuerzas del orden.
Ransomware construido con óxido
Los investigadores de Microsoft creen que el grupo tiene una motivación financiera, lo que significa que no es un actor patrocinado por el estado, ya que apunta a empresas con la intención de extorsionar dinero, que luego probablemente se utiliza para financiar actividades cibercriminales adicionales.
Cuando ataca, Storm-0501 busca cuentas mal protegidas y con demasiados privilegios. Una vez comprometidas, las cuentas se utilizan para otorgar acceso a dispositivos locales y, desde allí, a entornos de nube. El siguiente paso es establecer persistencia y permitir un movimiento lateral constante en toda la infraestructura.
El último paso es la introducción del ransomware. En el pasado, Storm-0501 utilizaba variantes populares, como Hive, BlackCat (ALPHV), Hunters International y LockBit. Sin embargo, en algunos de los ataques más recientes, el grupo utilizó una variante de ransomware llamada Embargo.
Embargo es una cepa relativamente nueva, desarrollada en Rust. Los investigadores de Microsoft afirman que utiliza métodos de cifrado avanzados y opera bajo el modelo RaaS (lo que significa que alguien más está desarrollando y manteniendo el cifrado y, por lo tanto, obtiene una parte del botín final). Mientras usa Embargo, Storm-0501 opta por la vieja y probada táctica de doble extorsión, donde primero roban los archivos de la víctima, luego cifran el resto y amenazan con filtrarlos en línea a menos que la víctima pague un rescate.
En los casos analizados por Microsoft, Storm-0501 aprovechó las cuentas de administrador de dominio comprometidas e implementó Embargo mediante tareas programadas. Los nombres de los archivos binarios del ransomware que se utilizaron fueron PostalScanImporter.exe y win.exe. Las extensiones de los archivos cifrados fueron .partial, .564ba1 y .embargo.
También vale la pena mencionar que Storm-0501 a veces se abstiene de implementar el cifrador y simplemente mantiene el acceso a la red.
