30 settembre 2024
Il gruppo ransomware Storm-0501, che ha rivolto la sua attenzione agli ambienti cloud ibridi, ha spinto Microsoft a emettere un avvertimento. La banda, che quando è emersa per la prima volta nel 2021 si chiamava "Sabbath", è riuscita a penetrare nei server di istituzioni pubbliche e a crittografare dati privati concentrandosi su importanti infrastrutture IT nel Nord America. Gli aggressori hanno chiesto un riscatto sui social media in cambio delle chiavi di decrittazione.
In un caso, nel 2021, l'organizzazione ha chiesto milioni di dollari in riscatto a funzionari governativi, istruttori e alunni di una scuola . Secondo una recente indagine di Microsoft, gli attacchi del gruppo si concentrano sempre più sulle infrastrutture cloud ibride.
Il gruppo ha effettuato attacchi in più fasi contro ambienti cloud ibridi, che vengono spesso utilizzati dalle aziende per gestire dati sensibili e non sensibili tra servizi cloud privati e pubblici. I dati appartenenti alle agenzie governative americane, così come alle aziende nei settori manifatturiero, dei trasporti e delle forze dell’ordine, sono stati l’obiettivo di recenti attacchi. Storm-0501 ha utilizzato dispositivi locali compromessi per diffondere la propria influenza sulle reti sfruttando le credenziali deboli degli account privilegiati per accedere agli ambienti cloud.
Gli aggressori sono riusciti ad aumentare la portata delle loro intrusioni estraendo le credenziali di accesso da diverse macchine attraverso l'uso di strumenti malware avanzati. Dopo aver estratto i file critici dalle reti e aver esercitato un controllo sufficiente su di essi, hanno diffuso il ransomware in tutte le aziende colpite. Microsoft ha rilasciato i risultati più recenti della sua ricerca sulla sicurezza, nonché indicatori per assistere le aziende nell'identificazione di possibili intrusioni.