A Microsoft revelou que o grupo de cibercriminosos conhecido como Storm-0501 tem como alvo setores governamentais, de manufatura, transporte e segurança pública nos EUA, realizando ataques de ransomware. A campanha de ataque visa comprometer ambientes de nuvem híbrida, permitindo movimentos laterais entre infraestruturas locais e na nuvem, culminando em roubo de dados, credenciais e implementação de ransomware.
Storm-0501, ativo desde 2021, é um grupo financeiramente motivado que utiliza ferramentas de código aberto e commodities para conduzir suas operações de ransomware. Inicialmente focado em instituições educacionais, o grupo evoluiu para um modelo de ransomware como serviço (RaaS), distribuindo vários tipos de ransomware, como Hive, BlackCat e LockBit. Um aspecto notável dos ataques do Storm-0501 é o uso de credenciais fracas e contas com privilégios excessivos para invadir infraestruturas em nuvem a partir de sistemas locais.
Outros métodos de acesso inicial incluem explorações de vulnerabilidades conhecidas em servidores desatualizados, como Zoho ManageEngine e Citrix NetScaler. A partir desse acesso inicial, os hackers realizam operações de reconhecimento em busca de ativos de alto valor, colhendo informações de domínio e utilizando ferramentas como AnyDesk para manter a persistência. Credenciais comprometidas são usadas para acessar mais dispositivos e realizar movimentos laterais dentro das redes alvo.
Após garantir o acesso aos sistemas, o grupo utiliza ferramentas como Cobalt Strike para movimentação lateral e Rclone para exfiltrar dados para serviços de nuvem pública, como MegaSync. Posteriormente, eles instalam backdoors persistentes na nuvem, permitindo um controle contínuo das redes invadidas.