TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
รายงานฉบับใหม่จาก Microsoft Threat Intelligence เปิดเผยว่า กลุ่มภัยคุกคามที่มีแรงจูงใจทางการเงินชื่อ Storm-0501 กำลังเปลี่ยนจุดสนใจไปสู่การโจมตีเรียกค่าไถ่บนคลาวด์ โดยก้าวข้ามจากยุทธวิธีแบบ on-premise ที่เคยใช้มาก่อนหน้านี้
กลุ่ม Storm-0501 ปรากฏตัวครั้งแรกในปี 2021 โดยใช้แรนซัมแวร์ Sabbath โจมตีเขตการศึกษาในสหรัฐฯ และนับแต่นั้นได้เปลี่ยนเป้าหมายไปยังหลายภาคส่วน รวมถึงภาคการดูแลสุขภาพในปี 2023 และในปี 2025 กลุ่มนี้ได้พัฒนาความเชี่ยวชาญด้านปฏิบัติการเรียกค่าไถ่บนคลาวด์
Storm-0501 แตกต่างจากผู้โจมตีแรนซัมแวร์แบบดั้งเดิมที่มักใช้มัลแวร์เข้ารหัสไฟล์บนเครื่องที่ถูกเจาะแล้วเรียกค่าไถ่เพื่อแลกกุญแจถอดรหัส แต่แทนที่จะปล่อยมัลแวร์ กลุ่มนี้ใช้ความสามารถภายในคลาวด์ที่มีอยู่แล้วเพื่อดึงข้อมูลปริมาณมหาศาล ลบข้อมูลสำรอง และทำลายทรัพยากรในสภาพแวดล้อม Azure ของเหยื่อก่อนจะส่งคำขู่เรียกค่าไถ่ วิธีการนี้มีผลร้ายแรง เนื่องจากทำงานได้เร็วกว่า สร้างความเสียหายได้มากกว่า และยังเลี่ยงการป้องกันที่มุ่งเน้นอุปกรณ์ปลายทางหลายรูปแบบ
รายงานระบุว่า Storm-0501 เริ่มสร้างฐานปฏิบัติการด้วยการเจาะเข้า Active Directory และขยายต่อไปยัง Microsoft Entra ID โดยกรณีล่าสุดพบว่ามีการใช้บัญชีซิงก์ Entra Connect เพื่อไล่ข้อมูลผู้ใช้และทรัพยากร จนสามารถเข้าควบคุมบัญชี global administrator ที่ไม่ได้เปิดใช้งาน multifactor authentication ได้
เมื่อเจาะเข้าสู่ระบบเป้าหมายแล้ว Storm-0501 จะลงทะเบียนโดเมนร่วมที่อันตรายเพื่อสร้างแบ็กดอร์ถาวร ทำให้สามารถสวมรอยเป็นผู้ใช้ภายในพื้นที่บนคลาวด์ จากนั้นจึงขยายสิทธิ์ควบคุมไปยังระบบสมาชิก Azure โดยใช้สิทธิ์ที่ถูกยกระดับ ก่อนจะทำการค้นหาข้อมูลสำคัญและใช้ฟีเจอร์ของ storage account เพื่อเปิดเผยและดึงข้อมูลออกมา
สิ่งที่ตามมาคือการลบ snapshot, restore point, storage account และ backup container เพื่อลบมาตรการป้องกัน เช่น immutability policy และ resource lock หากไม่สามารถลบไฟล์ได้ กลุ่มจะหันไปใช้การเข้ารหัสบนคลาวด์แทน โดยสร้าง key vault และ encryption scope ของตัวเอง ก่อนจะลบกุญแจทิ้ง ทำให้ข้อมูลไม่สามารถเข้าถึงได้
เนื่องจาก Storm-0501 มีความเสี่ยงจริง รายงานจึงเน้นย้ำถึงความจำเป็นในการเสริมความแข็งแกร่งด้านการป้องกัน ทั้งในระดับตัวตนและคลาวด์ ซึ่งแนวทางเพื่อลดความเสี่ยง ได้แก่ การบังคับใช้ multifactor authentication ที่ต้านทานฟิชชิง, การจำกัดสิทธิ์ในบัญชีซิงก์, การใช้ conditional-access policy และการนำ Microsoft Defender for Endpoint และ Defender for Cloud มาใช้งานเพื่อให้มีมุมมองที่ครอบคลุม นอกจากนี้ รายงานยังแนะนำให้เปิดใช้ immutable storage, ฟีเจอร์ purge protection ใน key vault และใช้โซลูชันสำรองข้อมูลเพื่อป้องกันการทำลายข้อมูลอีกด้วย
ที่มา: https://siliconangle.com/2025/08/27/microsoft-report-warns-storm-0501-turning-cloud-features-ransomware-weapons/
