Storm-0501 เปลี่ยนกลยุทธ์โจมตี Ransomware ไปยังระบบ Cloud แทนการเข้ารหัสอุปกรณ์

Microsoft เตือนว่ากลุ่มแฮกเกอร์ Storm-0501 ปรับเปลี่ยนวิธีการโจมตีจากการเข้ารหัสอุปกรณ์ด้วย ransomware แบบดั้งเดิมมาเป็นการโจมตีบนระบบ cloud โดยใช้การเข้ารหัสข้อมูล การขโมยข้อมูล และการขู่กรรโชกเงินผ่านความสามารถของ cloud platform

Storm-0501 เป็นกลุ่มผู้โจมตีที่เริ่มปฏิบัติการตั้งแต่ปี 2021 โดยเริ่มจากการใช้ Sabbath ransomware และต่อมาได้เข้าร่วมกับแพลตฟอร์ม ransomware-as-a-service (RaaS) หลายราย ใช้เครื่องมือเข้ารหัสจาก Hive, BlackCat (ALPHV), Hunters International, LockBit และล่าสุดคือ Embargo ransomware ในเดือนกันยายน 2024 Microsoft รายงานว่ากลุ่มนี้ขยายการโจมตีไปยัง hybrid cloud environments โดยเปลี่ยนจากการโจมตี Active Directory ไปยัง Entra ID tenants แต่ในรายงานล่าสุด Microsoft พบว่า Storm-0501 ได้เปลี่ยนกลยุทธ์อย่างสิ้นเชิงโดยไม่พึ่งพาการเข้ารหัสอุปกรณ์ on-premises อีกต่อไป แต่ดำเนินการโจมตีทั้งหมดบน cloud แทน

วิธีการโจมตีแบบใหม่ที่ Microsoft สังเกตพบคือ Storm-0501 จะเริ่มจากการบุกรุก Active Directory domains และ Entra tenants โดยใช้ช่องโหว่ในการติดตั้ง Microsoft Defender จากนั้นใช้บัญชี Directory Synchronization Accounts (DSAs) ที่ขโมยมาเพื่อสำรวจผู้ใช้งาน บทบาท และทรัพยากร Azure ด้วยเครื่องมืออย่าง AzureHound ผู้โจมตีค้นพบบัญชี Global Administrator ที่ไม่มีการเปิดใช้งาน multifactor authentication ทำให้สามารถรีเซ็ตรหัสผ่านและควบคุมระบบได้อย่างสมบูรณ์ ด้วยสิทธิ์เหล่านี้ พวกเขาสร้างการเข้าถึงถาวรโดยเพิ่ม malicious federated domains ที่อยู่ภายใต้การควบคุม ทำให้สามารถปลอมตัวเป็นผู้ใช้งานเกือบทุกคนและหลีกเลี่ยงการป้องกัน MFA ได้ นอกจากนี้ยังใช้ Microsoft.Authorization/elevateAccess/action เพื่อยกระดับสิทธิ์การเข้าถึงไปยัง Azure และกำหนดตัวเองเป็น Owner roles ทำให้ควบคุมสภาพแวดล้อม Azure ของเหยื่อได้ทั้งหมด

เมื่อควบคุม cloud environment ได้แล้ว Storm-0501 จะปิดการป้องกันต่างๆ และขโมยข้อมูลสำคัญจาก Azure Storage accounts พร้อมทั้งพยายามทำลาย storage snapshots, restore points, Recovery Services vaults และ storage accounts เพื่อป้องกันไม่ให้องค์กรสามารถกู้คืนข้อมูลได้เอง ในกรณีที่ไม่สามารถลบข้อมูลจาก recovery services ได้ ผู้โจมตีจะใช้การเข้ารหัสบน cloud โดยสร้าง Key Vaults และ customer-managed keys ใหม่ ทำให้ข้อมูลถูกเข้ารหัสด้วยคีย์ใหม่และไม่สามารถเข้าถึงได้จนกว่าจะจ่ายค่าไถ่ หลังจากขโมยข้อมูล ทำลายการสำรอง หรือเข้ารหัสข้อมูลบน cloud แล้ว Storm-0501 จะเข้าสู่ขั้นตอนการข่มขู่โดยติดต่อเหยื่อผ่าน Microsoft Teams โดยใช้บัญชีที่ถูกบุกรุกเพื่อส่งข้อความเรียกค่าไถ่

Microsoft ระบุว่าการเปลี่ยนกลยุทธ์นี้เกิดจากการที่ ransomware encryptors แบบดั้งเดิมถูกบล็อกได้มากขึ้นก่อนที่จะสามารถเข้ารหัสอุปกรณ์ได้ ทำให้อาจเห็นกลุ่มผู้โจมตีอื่นๆ เปลี่ยนจากการเข้ารหัส on-premise มาเป็นการขโมยข้อมูลและเข้ารหัสบน cloud ซึ่งอาจตรวจจับและป้องกันได้ยากกว่า รายงานของ Microsoft ยังแนะนำวิธีการป้องกัน การตรวจจับด้วย Microsoft Defender XDR และ hunting queries ที่ช่วยค้นหาและตรวจจับกลยุทธ์ที่กลุ่มผู้โจมตีนี้ใช้

ที่มา: https://www.bleepingcomputer.com/news/security/storm-0501-hackers-shift-to-ransomware-attacks-in-the-cloud/