Microsoft warnt: Ransomware von Storm-0501 bedroht Hybrid-Cloud-Umgebungen
Microsoft warnt vor der Ransomware-Gruppe Storm-0501, die es nun offenbar gezielt auf Hybrid-Cloud-Umgebungen abgesehen hat.
Die Ransomware der heute als "Storm-0501" bekannten Gruppe ist erstmals im Jahr 2021 aufgefallen. Die Angreifertruppe, die damals zunächst unter dem Namen "Sabbath" auftrat, hatte es auf kritische IT-Infrastrukturen in Nordamerika abgesehen. Seinerzeit gelang es ihr, Server von öffentlichen Einrichtungen zu infizieren und dort Datenbereiche zu verschlüsseln. Über Social-Media-Kanäle traten die Angreifer dann an die Öffentlichkeit und boten gegen Lösegeld Schlüssel zur Dechiffrierung an.
Wie das Portal SecurityIntelligence berichtet, nahmen die Täter 2021 bei einer betroffenen Schule sogar Kontakt mit Lehrern, Schülern und mit Mitarbeitern der Behörden auf, um ein Lösegeld in Höhe von mehreren Millionen US-Dollar einzufordern. Microsoft sieht nach Analyse der aktuellen Attacken nun eine gezielte Verlagerung der Ransomware-Angriffe auf Hybrid-Cloud-Umgebungen.
Hijacking von lokalen Benutzerkonten
Wie Microsoft in seinem Securityblog berichtet, wurde ein mehrstufiger Angriff von Storm-0501 in Hybrid-Cloud-Umgebungen beobachtet. Dabei handelt es sich um eine IT-Infrastruktur, die private Cloud-Dienste mit öffentlichen kombiniert und den Austausch von Daten und Anwendungen zwischen beiden Welten ermöglicht. Behörden und Unternehmen nutzen häufig Hybrid-Cloud-Umgebungen, um sensible oder geschäftskritische Daten in der privaten Cloud zu speichern und gleichzeitig weniger sensible Anwendungen und Daten in der kostengünstigeren öffentlichen Cloud zu betreiben.
Die jüngsten Angriffe zielten auf Daten der US-Regierung beziehungsweise Behördendaten sowie Daten von Unternehmen aus dem Fertigungs- und Transportbereich sowie von Strafverfolgungsbehörden in den USA ab. Die Angreifer verschafften sich Zugang zu den Cloud-Umgebungen, indem sie unsichere Anmeldeinformationen privilegierter Konten ausnutzten.
"Storm-0501 nutzte die Administratorrechte auf den lokalen Geräten, die beim ersten Zugriff kompromittiert worden waren, und versuchte, auf verschiedene Weise Zugriff auf weitere Konten innerhalb des Netzwerks zu erhalten", so Microsoft. "Die Malware nutzte in erster Linie das SecretsDump-Modul von Impacket, das Anmeldeinformationen über das Netzwerk extrahiert, und wandte es auf eine große Anzahl von Geräten an, um Anmeldeinformationen zu erhalten". Die Angreifer nutzen die kompromittierten Anmeldeinformationen dann dazu, um auf noch mehr Geräte zuzugreifen und dadurch weitere Login-Daten zu extrahieren.
"Sobald die Angreifer ausreichende Kontrolle über das Netzwerk erlangten und vertrauliche Dateien erfolgreich extrahierten sowie sich in der Cloud-Umgebung bewegen konnten, setzten sie ihre Ransomware im gesamten Unternehmen ein", kommentierte Microsoft das beobachtete Vorgehen.
Um eigene Netzwerke und Cloud-Umgebungen abzusichern, stellt Microsoft im Blogbeitrag eine Reihe von Indikatoren bereit, die Hinweise darauf geben, ob eine Kompromittierung vorliegt oder nicht. Dabei verweist Microsoft auf die aktuellen Sicherheitsforschungsergebnisse im Microsoft Threat Intelligence Blog.
(usz)