{"id":21303,"date":"2024-10-08T14:18:13","date_gmt":"2024-10-08T17:18:13","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21303"},"modified":"2024-10-08T14:18:14","modified_gmt":"2024-10-08T17:18:14","slug":"storm-0501","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/10\/exploits\/storm-0501\/","title":{"rendered":"Storm-0501"},"content":{"rendered":"\n<p><strong>Storm-0501: amea\u00e7a cibern\u00e9tica na nuvem h\u00edbrida<\/strong><\/p>\n<p style=\"text-align: justify;\">Recentemente, a Microsoft identificou o grupo Storm-0501 como uma das principais amea\u00e7as em ataques de ransomware direcionados a ambientes de nuvem h\u00edbrida, afetando setores cr\u00edticos como governo, manufatura, transporte e aplica\u00e7\u00e3o da lei nos Estados Unidos. Essa campanha de ataque em v\u00e1rias etapas compromete infraestruturas de TI, movendo-se lateralmente de ambientes locais (on-premises) para a nuvem, resultando em roubo de credenciais, exfiltra\u00e7\u00e3o de dados e em muitos casos a implanta\u00e7\u00e3o de ransomware.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Quem \u00e9 o Storm-0501?<\/strong><\/p>\n<p style=\"text-align: justify;\">O Storm-0501 \u00e9 um grupo de cibercriminosos com motiva\u00e7\u00f5es financeiras que utiliza ferramentas de c\u00f3digo aberto e convencionais para conduzir opera\u00e7\u00f5es de ransomware. Em atividade desde 2021, o grupo inicialmente se concentrou em ataques contra entidades educacionais, utilizando o ransomware Sabbath (54bb47h). Ao longo dos anos evoluiu para um modelo de afiliados de ransomware como servi\u00e7o (RaaS), utilizando diversos tipos de ransomware, como Hive, BlackCat (ALPHV), Hunters International, LockBit e Embargo.<\/p>\n<p>\u00a0<\/p>\n<p><strong>T\u00e1ticas de acesso e movimenta\u00e7\u00e3o lateral<\/strong><\/p>\n<p style=\"text-align: justify;\">Uma das caracter\u00edsticas marcantes das opera\u00e7\u00f5es do Storm-0501 \u00e9 o uso de credenciais fracas e contas com privil\u00e9gios excessivos. Essas vulnerabilidades s\u00e3o exploradas para acessar infraestruturas de TI locais e posteriormente mover-se para ambientes de nuvem. O grupo tamb\u00e9m utiliza m\u00e9todos de acesso inicial, incluindo o uso de pontos de entrada estabelecidos por corretores de acesso, como Storm-0249 e Storm-0900, ou a explora\u00e7\u00e3o de vulnerabilidades conhecidas de execu\u00e7\u00e3o remota de c\u00f3digo em servidores expostos \u00e0 internet, como Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion.<\/p>\n<p style=\"text-align: justify;\">Ao obter acesso, o grupo conduz opera\u00e7\u00f5es de descoberta para identificar ativos de alto valor, coletar informa\u00e7\u00f5es de dom\u00ednio e realizar reconhecimento do Active Directory. Para manter a persist\u00eancia, ferramentas de monitoramento e gerenciamento remoto, como AnyDesk, s\u00e3o implantadas, permitindo que o atacante continue suas atividades na rede comprometida.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Ferramentas utilizadas e amea\u00e7as adicionais<\/strong><\/p>\n<p style=\"text-align: justify;\">O Storm-0501 emprega uma s\u00e9rie de ferramentas para alcan\u00e7ar seus objetivos. Uma das t\u00e9cnicas mais utilizadas \u00e9 o Impacket&#8217;s SecretsDump, que permite a extra\u00e7\u00e3o de credenciais pela rede. O grupo tamb\u00e9m utiliza essas credenciais comprometidas para acessar mais dispositivos e continuar coletando informa\u00e7\u00f5es sens\u00edveis, como segredos do KeePass.<\/p>\n<p style=\"text-align: justify;\">Al\u00e9m disso, o grupo recorre ao Cobalt Strike para movimenta\u00e7\u00e3o lateral na rede e para enviar comandos subsequentes. A exfiltra\u00e7\u00e3o de dados do ambiente local \u00e9 frequentemente realizada utilizando a ferramenta Rclone, que transfere os dados para o servi\u00e7o de armazenamento na nuvem MegaSync<img loading=\"lazy\" decoding=\"async\" class=\"aligncenter\" src=\"https:\/\/www.ethicalhacker.com.br\/site\/wp-content\/uploads\/attack-ms.gif\" alt=\"\" width=\"579\" height=\"351\" \/><\/p>\n<p><strong>Ataques \u00e0 nuvem e ransomware<\/strong><\/p>\n<p style=\"text-align: justify;\">O Storm-0501 tem sido observado criando portas traseiras persistentes no ambiente de nuvem, uma vez que obt\u00e9m controle suficiente sobre a rede. Eles utilizam credenciais roubadas, especialmente do Microsoft Entra ID (antigo Azure AD), para mover-se do ambiente local para a nuvem. Esse movimento lateral para a nuvem \u00e9 facilitado por contas comprometidas do Microsoft Entra Connect Sync ou pelo sequestro de sess\u00e3o de um usu\u00e1rio local que tenha privil\u00e9gios de administrador na nuvem, muitas vezes com autentica\u00e7\u00e3o multifator (MFA) desativada.<\/p>\n<p style=\"text-align: justify;\">O ataque culmina com a implanta\u00e7\u00e3o do ransomware Embargo, um ransomware baseado em Rust, descoberto pela primeira vez em maio de 2024. Sob o modelo de afiliados RaaS, o grupo de ransomware por tr\u00e1s do Embargo permite que afiliados, como o Storm-0501, utilizem sua plataforma para lan\u00e7ar ataques em troca de uma parte do resgate. A t\u00e1tica de dupla extors\u00e3o, que envolve criptografar os arquivos da v\u00edtima e amea\u00e7ar divulgar dados roubados a menos que o resgate seja pago \u00e9 amplamente utilizada pelo Storm-0501 e seus parceiros.<\/p>\n<p>\u00a0<\/p>\n<p><strong>O crescimento da amea\u00e7a<\/strong><\/p>\n<p style=\"text-align: justify;\">Embora o Storm-0501 seja not\u00e1vel por sua capacidade de implantar ransomware, nem sempre opta por essa abordagem. Em alguns casos, o grupo mant\u00e9m apenas o acesso persistente \u00e0 rede, evitando a distribui\u00e7\u00e3o de ransomware. Essa flexibilidade mostra a capacidade do grupo de adaptar suas t\u00e1ticas conforme o alvo e as circunst\u00e2ncias.<\/p>\n<p style=\"text-align: justify;\">Al\u00e9m disso, outras amea\u00e7as cibern\u00e9ticas continuam a emergir. O grupo DragonForce, por exemplo, tem utilizado uma variante do ransomware LockBit 3.0 e uma vers\u00e3o modificada do Conti em ataques direcionados a empresas dos setores de manufatura, imobili\u00e1rio e transporte. Esses ataques s\u00e3o caracterizados pelo uso da porta traseira SystemBC para persist\u00eancia, al\u00e9m de ferramentas como Mimikatz e Cobalt Strike para coleta de credenciais e movimenta\u00e7\u00e3o lateral.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">O Storm-0501 representa uma amea\u00e7a significativa para as infraestruturas de nuvem h\u00edbrida. Com a capacidade de se mover lateralmente entre ambientes locais e de nuvem, e utilizando uma combina\u00e7\u00e3o de ferramentas poderosas, o grupo consegue causar danos substanciais a redes corporativas. Sua abordagem de dupla extors\u00e3o e a evolu\u00e7\u00e3o constante de suas t\u00e1ticas indicam que as organiza\u00e7\u00f5es precisam permanecer vigilantes e adotar medidas robustas de seguran\u00e7a para mitigar esses riscos. A ado\u00e7\u00e3o de autentica\u00e7\u00e3o multifator (MFA), a implementa\u00e7\u00e3o de pol\u00edticas de privil\u00e9gio m\u00ednimo e a corre\u00e7\u00e3o r\u00e1pida de vulnerabilidades conhecidas s\u00e3o a\u00e7\u00f5es essenciais para proteger contra amea\u00e7as como o Storm-0501.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e Imagens: <a href=\"https:\/\/thehackernews.com\/2024\/09\/microsoft-identifies-storm-0501-as.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2024\/09\/microsoft-identifies-storm-0501-as.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Storm-0501: amea\u00e7a cibern\u00e9tica na nuvem h\u00edbrida Recentemente, a Microsoft identificou o grupo Storm-0501 como uma das principais amea\u00e7as em ataques de ransomware direcionados a ambientes de nuvem h\u00edbrida, afetando setores cr\u00edticos como governo, manufatura, transporte e aplica\u00e7\u00e3o da lei nos Estados Unidos. Essa campanha de ataque em v\u00e1rias etapas compromete infraestruturas de TI, movendo-se lateralmente [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21304,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21303","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21303","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21303"}],"version-history":[{"count":8,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21303\/revisions"}],"predecessor-version":[{"id":21313,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21303\/revisions\/21313"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21304"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21303"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21303"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21303"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}