A Microsoft Alerta Que o Storm-0501, Grupo de Cibercriminosos ATIVO DESDE PELO MENOS 2021, Mudou Suas Operações, Passo de Ataques com Ransomware em Dispositivos para Atraquimes, Dadãos De Destemo, combinando, ExfiltrafiltrafiltraiM, de Destos, combinando, combinando, exfiltrafiltrafil, ex-departamentos, combina, combinando exfiltrafiltrafil. de Armazenento para Extorsão.
Leia Tamboma
Nova Ferradores Acelera Responsta A CibeRataques
Crescimento das verbas de Cyber Cai Pela Metade
Anteriormente, o Grupo USAVA Ransomware como sábado, Hive, Blackcat (ALPHV), Hunters International, Lockbit E, mais recentemente, Embargo para Comprometer Sistemas Locais. DESDE SETEmbro de 2024, o Storm-0501 ExpandiU Suas Operações Para Ambientes HÍBRIDOS, Explorando Active Directory e Entra ID. AGORA, uma Estratégia concentra-se exclusivamento na nuvem.
OS Ataques EM NUVEM Observados Pela Microsoft Mostram que o Grupo Compromete Múltiplos Domínios do Active Directory E inquilinos do Entra, Explorando lacunas em implementações do Microsoft Defender. Ele utilizam contas de singrocronizaça de diretório (dsa) para enumerar usuários, funções e recursos do azul. AO Encontrar Uma Contridade de Administrador Global Sem Autenticação Multifuladora, Redefinem a Senha e obtêm Controle Total da Infraestrutura.
COM Privilégios Elevados, os atacantes Criam Domínios federados maliciosos, Permitindo Bypass de MFA, e abusam da aça Microsoft.Authorization/ElevateAccess/Action para Atrprribuir Função de Proprietário, Assume o Controle Conclusão do Ambientee Azure. EM SEGUIDA, DESABILITAM DEFESAS, EXFILTRAM DADOS SENSÍMISE DE CONTAS DE ARMAZENAMENTO E TENTAM DESTRUIR SNAPOSTOS, PONTOS DE Restaurana E Vaults de Recovery Services.
Quando um exclusão de Dadas Não é Possível, o Storm-0501 implementa crpriprafia Basaada em nuvem, Criando Novos Key Vaults E Chaves Gerenciadas Pelo Cliente, Tornando Os Dadas Inacessis Sem Pagamento de Resgate. Após a exfiltração, destruição de backups ou cripários, o Grupo Contata como Vítimas através de equipes da Microsoft, USando Contas Comprometidas, para Exigir resgatam.
Um Microsoft Recomenda Medidas de Proteção, Incluio Monitoramento de Atividadas Suspeitas em Azure, Aplicação de MFA Robusto, Revisão de Permissões Administratives e Uso Das Detecç ã do Microsoft Xdr Para Identificário e Mitigar Estreado por Tipão de Dosoft.
