Storm-0501 pasa a los ataques de ransomware en la nube: robo de datos, borrado de copias de seguridad y rescate

El actor de amenazas Storm-0501 ha evolucionado sus campañas para implementar tácticas de 'ransomware' basadas en la nube, lo que además del robo de datos abre la puerta a la destrucción de las copias de seguridad.

Storm-0501 es un grupo activo desde 2021, que dirige su 'ransomware' Sabbath contra empresas e instituciones públicas de todo el mundo y que el año pasado extendió sus operaciones a entornos de nube híbrida.

Esta evolución se sustenta en "la escalada de privilegios en la nube, aprovechando las brechas de protección y visibilidad en el entorno comprometido y migrando de entornos locales a la nube", como explican desde Microsoft Threat Intelligence en su blog. Pasó de comprometer Active Directory a inquilinos de Entra ID para acceder a entornos en Azure.

De esta forma, la manerade afrontar el 'ransomware' cambia: si en entornos locales encripta equipos o archivos críticos y exige el pago de un rescate para facilitar la clave de encriptación, en la nube Storm-0501 puede exfiltrar grandes volúmenes de datos, borrar los datos y las copias de seguridad en el entorno de la víctima así como encriptar el acceso al almacenamiento.

Una vez hecho esto, el grupo inicia la fase de extorsión, es decir, solicita un pago (el rescate) a la organización víctima, y lo hace a través de Teams, con un usuario previamente comprometido.