Αν και δεν είχαμε την εντύπωση ότι το cloud ήταν απρόσβλητο από το ransomware, η Microsoft πρόσφατα έκανε γνωστό ότι παρατήρησε μια ομάδα κυβερνοεγκληματιών την οποία παρακολουθεί ως «Storm-0501» να θέτει σε κίνδυνο υβριδικά περιβάλλοντα cloud.

Η ομάδα Storm-0501 έχει συνδεθεί με επιχειρήσεις ransomware από τότε που πρωτοεμφανίστηκε το 2021, όταν και χρησιμοποίησε το ransomware Sabbath εναντίον μιας σχολικής περιφέρειας στις ΗΠΑ. Το πρόγραμμα συνεργατών (affiliate) του λυτρισμικού (ransomware) Sabbath στοχεύει κυρίως κρίσιμες υποδομές στις Ηνωμένες Πολιτείες και στον Καναδά. Χρησιμοποιεί ένα πολύπλευρο μοντέλο εκβιασμού που περιλαμβάνει την εφαρμογή ransomware, την κλοπή δεδομένων και την καταστροφή αντιγράφων ασφαλείας. Η εταιρεία Mandiant αναφέρει ότι η ίδια ομάδα λειτουργούσε στο παρελθόν με το όνομα Arcane και Eruption και είχε βρεθεί να εγκαθιστά το ransomware ROLLCOAST.

Αργότερα άλλαξαν τις δραστηριότητές τους για να δρουν συνεργατικά με ομάδες Ransomware-as-a-Service (RaaS) όπως είναι οι Hive, ALPHV, Hunters International, LockBit και πιο πρόσφατα με την ομάδα πίσω από το λυτρισμικό Embargo.

Ο τρόπος που προτιμούν για να μετακινούνται πλευρικά από τα συστήματα των κεντρικών εγκαταστάσεων (on-premises) σε περιβάλλοντα νέφους (cloud) είναι τα κλεμμένα διαπιστευτήρια από λογαριασμούς με πρόσβαση και στα δύο. Χρησιμοποιούν λοιπόν τα κλεμμένα διαπιστευτήρια για να αποκτήσουν τον έλεγχο του δικτύου και ακολούθως δημιουργούν μία κερκόπορτα (backdoor) για μόνιμη πρόσβαση στο περιβάλλον νέφους και τελικώς «εξαπολύουν» το ransomware στα κεντρικά συστήματα.

Η αρχική πρόσβαση παρέχεται συχνά από μεσίτες αρχικής πρόσβασης (Initial Access Brokers – IABs) που εκμεταλλεύονται γνωστές ευπάθειες απομακρυσμένης εκτέλεσης κώδικα (RCE) στα Zoho ManageEngine, Citrix NetScaler και ColdFusion 2016.

Έχοντας πλέον πρόσβαση, η ομάδα στη συνέχεια προχωρά στην αναζήτηση επιθυμητών στόχων στο δίκτυο όπως περιουσιακά στοιχεία υψηλής αξίας και γενικές πληροφορίες τομέα. Χρησιμοποιώντας τεχνικές living-of-the-land (LOTL), βάζουν στόχο χρήστες Διαχειριστές Τομέα (Domain Administrator) και την εμπιστοσύνη του domain forest, που βοηθά τους χρήστες να διαχειρίζονται μια τμηματοποιημένη υποδομή Active Directory Domain Services (AD DS).

Άλλα εργαλεία ανοικτού κώδικα χρησιμοποιούνται για την αναζήτηση πρόσθετων πληροφοριών τερματικών συσκευών καθώς και για αναγνωριστικά του Active Directory.

Στο επόμενο στάδιο, η ομάδα αναπτύσσει εργαλεία απομακρυσμένης παρακολούθησης και διαχείρισης (RMM) για την αλληλεπίδραση με τις παραβιασμένες συσκευές και την καθιέρωση της θέσης τους.

Χρησιμοποιώντας προνόμια διαχειριστή στις εκτεθειμένες ευάλωτες συσκευές, επιδιώκουν να κλέψουν πρόσθετα διαπιστευτήρια για να αποκτήσουν πρόσβαση σε περισσότερες συσκευές στο δίκτυο.

Τα συγκεκριμένα διαπιστευτήρια που χρησιμοποιήθηκαν για την απόκτηση πρόσβασης στο νέφος ήταν Microsoft Entra IDs που είχαν κλέψει νωρίτερα κατά τη διάρκεια της επίθεσης.

Το Microsoft Entra Connect, προηγουμένως γνωστό ως Azure AD Connect, είναι μια εφαρμογή στις εγκαταστάσεις που συγχρονίζει μια ταυτότητα στις εγκαταστάσεις με την ταυτότητα Microsoft Entra ενός λογαριασμού χρήστη, ώστε ο χρήστης να μπορεί να συνδεθεί και στους δύο τομείς με τον ίδιο κωδικό πρόσβασης.

Η Microsoft διαπίστωσε ότι ο επιτιθέμενος εντόπισε συγκεκριμένα τους διακομιστές Microsoft Entra Connect Sync και κατάφερε να εξαγάγει τα διαπιστευτήρια των λογαριασμών συγχρονισμού Microsoft Entra Connect του νέφους και των εγκαταστάσεων που βρίσκονταν σε απλό κείμενο, χρησιμοποιώντας κατά πάσα πιθανότητα το Impacket για να κλέψει τα διαπιστευτήρια και τα κλειδιά κρυπτογράφησης Data Protection API (DPAPI).

Ο τελικός στόχος εδώ ήταν η κλοπή δεδομένων και η εφαρμογή του ransomware Embargo. Στις περιπτώσεις που παρατηρήθηκαν από τη Microsoft, οι δράστες χρησιμοποίησαν παραβιασμένους λογαριασμούς Domain Admin για να διανείμουν το ransomware Embargo μέσω μιας προγραμματισμένης εργασίας με την ονομασία SysUpdate που καταχωρήθηκε μέσω GPO στις συσκευές του δικτύου.

Μέτρα προστασίας

Για τη μείωση της επιφάνειας επίθεσης, η Microsoft συνιστά στους οργανισμούς να εφαρμόσουν το Microsoft Entra Connect σε διακομιστή που είναι συνδεδεμένος με τομέα και να περιορίζουν τη διαχειριστική πρόσβαση σε διαχειριστές τομέα ή άλλες αυστηρά ελεγχόμενες ομάδες ασφαλείας.

Θα πρέπει επίσης να ενεργοποιηθεί ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους χρήστες, ξεκινώντας από τους προνομιούχους διαχειριστές. Η Microsoft παροτρύνει επίσης τους χρήστες να ενεργοποιήσουν την προστασία για να αποτρέψουν την παράκαμψη της πολυπαραγοντικής αυθεντικοποίησης Microsoft Entra στο νέφος όταν συγχρονίζεται με το Microsoft Entra ID.

Μια υπηρεσία MDR μπορεί να εντοπίσει ύποπτη συμπεριφορά, όπως η ανάπτυξη LOTL, RMM και εργαλείων ανοικτού κώδικα τα οποία ενδέχεται να μην εντοπιστούν από την τυπική προστασία τερματικών συσκευών.

Εξετάστε το ενδεχόμενο χρήσης μιας λύσης διαχείρισης ταυτότητας και της πρόσβασης (IAM). Οι λύσεις IAM ελέγχουν ποιος έχει πρόσβαση στους πόρους του νέφους και επιπλέον τι μπορεί να κάνει κάποιος με αυτούς. Το παραπάνω συνήθως περιλαμβάνει τον έλεγχο ταυτότητας χρήστη, την εξουσιοδότηση και την επιβολή πολιτικών πρόσβασης.

Επιπλέον, μια λύση διαχείρισης ευπαθειών και επιδιορθώσεων μπορεί να συμβάλει στη διακοπή της αρχικής πρόσβασης μέσω ευάλωτων συσκευών, υπηρεσιών και λογισμικού που «βλέπουν» έξω προς το διαδίκτυο.

Η εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας μπορεί επίσης να εκπαιδεύσει τους υπαλλήλους σχετικά με τις βέλτιστες πρακτικές ασφάλειας στο νέφος και τους πιθανούς κινδύνους που σχετίζονται με την υπολογιστική νέφους.

Πηγή: ThreatDown