【新闻转载】Storm-0501：勒索软件攻击扩展到混合云环境

       icrosoft发出警告，勒索软件团伙Storm-0501近期调整了攻击策略，目前正将目标瞄准混合云环境，旨在全面破坏受害者的资产。

       该威胁行为者自2021年首次露面，起初作为Sabbath勒索软件行动的分支。随后，他们开始分发来自Hive、BlackCat、LockBit和Hunters International团伙的文件加密恶意软件。近期，他们被观察到部署了Embargo勒索软件。

       Storm-0501的最新攻击波及了美国的多家医院、政府机构、制造业和运输公司，以及执法部门。

       据Microsoft透露，这一多阶段的攻击活动旨在破坏混合云环境，并实现从本地网络到云环境的横向移动，最终导致数据泄露、凭据被盗、系统篡改、持续的后门访问以及勒索软件的部署。

       "Storm-0501是一个以经济利益为驱动的网络犯罪集团，他们利用商业和开源工具进行勒索软件攻击，"微软的威胁情报团队指出。

       自2021年起，该威胁行为者一直活跃在网络上，最初使用Sabbath（54bb47h）勒索软件攻击教育机构，随后演变为勒索软件即服务（RaaS）的附属机构，多年来提供了包括Hive、BlackCat（ALPHV）、Hunters International、LockBit和Embargo在内的多种勒索软件载荷。

Storm-0501 攻击流程

       Storm-0501攻击事件中，攻击者采用了多种手段来从本地组织迁移到云基础设施，其显著特点之一是利用弱凭证和特权过高的账户。

       此外，攻击者的初始访问方法还包括使用Storm-0249和Storm-0900等访问代理已建立的立足点，以及利用未修补的面向Internet的服务器中的远程代码执行漏洞，如Zoho ManageEngine、Citrix NetScaler和Adobe ColdFusion 2016。

        这些方法为攻击者提供了广泛的发现操作的机会，使他们能够确定高价值资产、收集域信息并执行Active Directory侦查。

       随后，攻击者部署了远程监控和管理工具（如AnyDesk）以保持持久性。据Microsoft表示，威胁行为者利用了在初始访问期间入侵的本地设备上的管理员权限，并试图通过多种方法访问网络内的更多帐户。

       攻击者主要利用Impacket的SecretsDump模块来提取凭据，并在大量设备上利用这些凭据。泄露的凭据随后被用于访问更多设备并提取其他凭据，同时攻击者还会访问敏感文件以提取KeePass机密，并通过暴力攻击获取特定帐户的凭据。

       Microsoft还检测到Storm-0501使用Cobalt Strike和泄露的凭据在网络中横向移动并发送后续命令。通过使用自定义Rclone二进制文件模仿Windows工具，攻击者将数据传输到MegaSync公有云存储服务，从而完成从本地环境的数据泄露。

       此外，威胁行为者还创建了对云环境的持续后门访问，并将勒索软件部署到本地，成为最新以混合云设置为目标的威胁行为者。

       攻击者使用从攻击早期窃取的凭据，特别是Microsoft Entra ID（原Azure AD），从本地横向移动到云环境，并通过后门建立对目标网络的持久访问。

       转向云的途径包括遭到入侵的Microsoft Entra Connect Sync用户帐户或通过本地用户帐户的云会话劫持，这些帐户在云中具有相应的管理员帐户，并且禁用了多重身份验证（MFA）。

       在获得对网络的充分控制权、泄露感兴趣的文件并横向移动到云后，攻击最终导致在受害组织中部署Embargo勒索软件。

       勒索软件负载是使用 Domain Admin 等受感染的帐户通过计划任务或组策略对象 （GPO） 部署的，以加密组织设备中的文件。

       Embargo是一种基于Rust的勒索软件，于2024年5月首次被发现。

       “Embargo 背后的勒索软件组织在 RaaS 模式下运作，允许 Storm-0501 等附属公司使用其平台发起攻击，以换取一部分赎金，”Microsoft 表示。

       “禁运附属公司采用双重勒索策略，他们首先加密受害者的文件，并威胁如果不支付赎金，否则会泄露被盗的敏感数据。”

        话虽如此，Windows 制造商收集的证据表明，威胁行为者并不总是求助于勒索软件分发，而是在某些情况下只选择保持对网络的后门访问。

禁运勒索软件活动

       Embargo 威胁组织使用基于 Rust 的恶意软件来运行他们的勒索软件即服务 （RaaS） 操作，该操作接受入侵公司的附属公司部署有效载荷并与开发人员分享部分利润。

       2024 年 8 月，Embargo 勒索软件附属公司袭击了美国无线电中继联盟 （ARRL），并收到了 100 万美元以换取一个可用的解密器。

        2024年 5 月，一家 Embargo 附属公司入侵了澳大利亚最大的抵押贷款和投资管理公司之一 Firstmac Limited，并在协商解决方案的截止日期前泄露了 500GB 被盗的敏感数据。

       披露之际，DragonForce 勒索软件组织一直在使用泄露的 LockBit3.0 构建器的变体和 Conti 的修改版本来瞄准制造业、房地产和运输行业的公司。

        这些攻击的特点是使用 SystemBC 后门进行持久性，使用 Mimikatz 和 Cobalt Strike 进行凭据收集，以及使用 Cobalt Strike 进行横向移动。美国占受害者总数的 50% 以上，其次是英国和澳大利亚。

       “该组织采用双重勒索策略，加密数据，并威胁除非支付赎金就泄露，”总部位于新加坡的 Group-IB 表示。“联盟计划于 2024 年 6 月 26 日启动，向联盟提供 80% 的赎金，以及用于攻击管理和自动化的工具。”

消息来源：

Embargo ransomware escalates attacks to cloud environments (bleepingcomputer.com)

Microsoft Identifies Storm-0501 as Major Threat in Hybrid Cloud Ransomware Attacks (thehackernews.com)

       以下是solar安全团队近期处理过的常见勒索病毒后缀：后缀.lol勒索病毒,后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。

       勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

       而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。