Microsoft identifiziert Hauptakteur von Ransomware-Angriffen
Der Bedrohungsakteur Storm-0501 hat es mit seinen Ransomware-Angriffen auf Regierungsbehörden, die Fertigungsindustrie, den Transportsektor und Strafverfolgungsbehörden in den USA abgesehen. Die mehrstufige Angriffskampagne zielt darauf ab, hybride Cloud-Umgebungen zu kompromittieren, indem sie sich von lokalen Systemen in die Cloud bewegt, um Daten zu exfiltrieren, Anmeldedaten zu stehlen, Systeme zu manipulieren, dauerhafte Backdoors einzurichten und schließlich Ransomware einzusetzen.
Die cyberkriminelle Gruppe Storm-0501 ist eine finanzielle motivierte Bedrohung, die seit 2021 aktiv ist. Sie nutzt sowohl Standard- als auch Open-Source-Tools, um Ransomware-Angriffe durchzuführen, wie das Threat Intelligence Team von Microsofts berichtet. Ursprünglich begann Storm-0501 mit Angriffen auf Bildungseinrichtungen unter Verwendung der Ransomware Sabbath (54bb47h). Im Laufe der Zeit entwickelte sich die Gruppe zu einem Ransomware-as-a-Service (RaaS)-Anbieter, der eine Vielzahl von Ransomware-Nutzlasten bereitstellt, darunter bekannte Varianten wie Hive, BlackCat (ALPHV), Hunters International, LockBit und Embargo-Ransomware.
Eine der auffälligsten Methoden von Storm-0501 ist der Missbrauch schwacher Anmeldeinformationen und überprivilegierter Konten. Diese Schwachstellen nutzt die Gruppe, um von Unternehmensnetzwerken in lokale Cloud-Infrastrukturen vorzudringen und dort erhebliche Schäden zu verursachen. Weitere häufige Einstiegspunkte sind bereits geschaffene Zugangspunkte, die von Access Brokern wie Storm-0249 und Storm-0900 angeboten werden, oder die gezielte Ausnutzung ungepatchter Schwachstellen in weit verbreiteten Internet-Servern, darunter Zoho ManageEngine, Citrix NetScaler und Adobe ColdFusion.
Sobald Storm-0501 den ersten Zugriff auf ein Netzwerk erlangt hat, führen die Akteure gründliche Erkundungsoperationen durch. Dabei sammeln sie Domäneninformationen, erforschen Active Directory und identifizieren wertvolle Daten und Systeme. Um dauerhaft Zugang zu behalten, setzen sie Fernüberwachungs- und Verwaltungstools (RMMs) wie AnyDesk ein. Diese Tools ermöglichen es ihnen, eine dauerhafte Präsenz auf den kompromittierten Geräten zu sichern und ihre Aktivitäten unbemerkt fortzusetzen.
Eine zentrale Technik der Gruppe ist das SecretsDump-Modul von Impacket, das gezielt Anmeldedaten über das Netzwerk extrahiert. Dieses Tool wird auf verschiedenen Geräten innerhalb des Netzwerks eingesetzt, um so viele Zugangsdaten wie möglich zu stehlen. Die erbeuteten Anmeldedaten dienen nicht nur dazu, tiefer ins Netzwerk vorzudringen, sondern auch, um Zugang zu weiteren sensiblen Informationen wie KeePass-Daten zu erhalten. Zusätzlich führt die Gruppe Brute-Force-Angriffe durch, um Passwörter bestimmter Konten zu knacken, und verschafft sich so noch tiefere Zugriffsrechte und Kontrolle über kritische Systeme.
Microsoft hat herausgefunden, dass die Bedrohungsgruppe Storm-0501 das Tool Cobalt Strike verwendet, um mithilfe gestohlener Anmeldedaten seitlich im Netzwerk zu agieren und zusätzliche Befehle auszuführen. Für die Datenexfiltration aus lokalen Netzwerken nutzt die Gruppe das Programm Rclone, um Informationen in den öffentlichen Cloud-Speicherdienst MegaSync zu übertragen.
Darüber hinaus beobachtete Microsoft, wie Storm-0501 dauerhafte Hintertüren (Backdoors) in Cloud-Umgebungen einrichtete und Ransomware in lokalen Netzwerken installierte. Diese Gruppe reiht sich neben Octo Tempest und Manatee Tempest ein, die ebenfalls hybride Cloud-Umgebungen angreifen.
Laut Microsoft nutzte der Angreifer zuvor gestohlene Microsoft Entra ID-Anmeldeinformationen (ehemals Azure AD), um von der lokalen Umgebung in die Cloud zu wechseln und dort eine dauerhafte Backdoor zu installieren. Dies gelang entweder durch die Kompromittierung eines Microsoft Entra Connect Sync-Kontos oder durch das Hijacking einer Cloud-Sitzung eines lokalen Kontos, das Admin-Rechte in der Cloud besaß und bei dem die Multi-Faktor-Authentifizierung (MFA) deaktiviert war.
Der Angriff gipfelte in der Verbreitung der Embargo-Ransomware im gesamten Netzwerk des Opfers, nachdem der Angreifer genug Kontrolle über die Systeme erlangt hat, Daten exfiltriert wurden und die seitliche Bewegung in die Cloud erfolgreich abgeschlossen ist. Embargo ist eine Ransomware, die auf der Programmiersprache Rust basiert und erstmals im Mai 2024 entdeckt wurde. Sie wird im Rahmen eines Ransomware-as-a-Service (RaaS)-Modells bereitgestellt, bei dem Gruppen wie Storm-0501 die Plattform nutzen, um Angriffe durchzuführen und im Gegenzug einen Teil des Lösegelds zu erhalten.
Embargo-Anwender setzen auf doppelte Erpressung: Zuerst werden die Daten der Opfer verschlüsselt, und anschließend wird gedroht, die gestohlenen sensiblen Informationen zu veröffentlichen, wenn kein Lösegeld gezahlt wird.
Microsofts Untersuchungen zeigen jedoch, dass Storm-0501 nicht immer auf Ransomware zurückgreift. In einigen Fällen begnügt sich die Gruppe damit, eine dauerhafte Hintertür im Netzwerk einzurichten, ohne direkt Erpressung durchzuführen.
Die Enthüllung kommt zu einem Zeitpunkt, an dem die DragonForce-Ransomware-Gruppe Unternehmen in den Branchen Fertigung, Immobilien und Transport angreift. Sie nutzt dabei eine Variante des durchgesickerten LockBit3.0-Builders und eine modifizierte Version der Conti-Ransomware.
Die Angriffe werden durch den Einsatz der SystemBC-Backdoor zur Aufrechterhaltung der Persistenz sowie der Tools Mimikatz und Cobalt Strike zum Sammeln von Anmeldedaten und für seitliche Bewegungen im Netzwerk gekennzeichnet. Über die Hälfte der Opfer befinden sich in den USA, aber auch Großbritannien und Australien sind stark betroffen.
Die Gruppe setzt auf eine doppelte Erpressungstaktik: Zuerst verschlüsseln sie die Daten der Opfer, dann drohen sie, diese gestohlenen sensiblen Daten zu veröffentlichen, falls kein Lösegeld gezahlt wird. Laut des in Singapur ansässigen Sicherheitsunternehmens Group-IB startete DragonForce am 26. Juni 2024 ein Partnerprogramm, das 80 Prozent des Lösegelds an Partner weitergibt und Tools zur Automatisierung und Verwaltung der Angriffe bereitstellt.