MADRI, 29 ago. (Portaltic/EP) -
O agente de ameaças Storm-0501 evoluiu suas campanhas para implementar táticas de ransomware baseadas na nuvem, o que, além do roubo de dados, abre a porta para a destruição de backups.
O Storm-0501 está ativo desde 2021, direcionando seu ransomware Sabbath contra empresas e instituições públicas em todo o mundo, e no ano passado estendeu suas operações para ambientes de nuvem híbrida.
Essa evolução é baseada em "escalonamento de privilégios na nuvem, explorando lacunas de proteção e visibilidade no ambiente comprometido e migrando de ambientes locais para a nuvem", conforme explicado pela Microsoft Threat Intelligence em seu blog. Ele passou do comprometimento do Active Directory para os locatários do Entra ID para acessar ambientes no Azure.
Dessa forma, a maneira de lidar com o ransomware muda: se em ambientes locais ele criptografa computadores ou arquivos críticos e exige o pagamento de um resgate para fornecer a chave de criptografia, na nuvem o Storm-0501 pode exfiltrar grandes volumes de dados, excluir dados e backups no ambiente da vítima, além de criptografar o acesso ao armazenamento.
Uma vez feito isso, o grupo inicia a fase de extorsão, ou seja, solicita um pagamento (o resgate) da organização vítima e o faz por meio do Teams, com um usuário previamente comprometido.
Esta notícia foi traduzida por um tradutor automático