White Lightning Heating Mountain

Storm-0501 lance une chaîne d’attaque de ransomware hybride brutale

Lucas Morel

Storm-0501 détourne les comptes privilégiés, supprime des sauvegardes et crypte les données cloud dans une nouvelle campagne de ransomware hybride. Microsoft exhorte les CISO à appliquer le moins de privilèges, à percer les livres de jeu des ransomwares et à réévaluer les risques de maintenir les actifs hérités sur site.

Microsoft Threat Intelligence a publié aujourd’hui un rapport sur le groupe motivé financièrement Storm-0501, avertissant que l’acteur de menace a aiguisé ses tactiques de ransomwares en exploitant des comptes privilégiés détournés pour se déplacer de manière transparente entre les environnements sur site et le nuage, l’exploitation des lacunes de visibilité pour crypter les données et effectuer des suppressions de masse de ressources dans le nuage, notamment des soutiens.

Compte tenu de la façon dont cette approche nettement intrusive augmente la mise à niveau d’extorsion, les CISO sont bien avisés pour examiner et restreindre le nombre de comptes privilégiés, revisiter leurs livres de jeu de ransomwares et réexaminer si leurs actifs locaux devraient être déplacés vers le cloud.

Comment fonctionne la chaîne d’attaque

Microsoft raconte une récente campagne dans laquelle Storm-0501 a compromis une grande entreprise composée de plusieurs filiales, chacune fonctionnant son propre domaine Active Directory. Tous les domaines sont interconnectés par le biais de relations de confiance du domaine, permettant l’authentification croisée et l’accès aux ressources.

Un seul de ces locataires avait Microsoft Defender pour le point de terminaison déployé. Les appareils de plusieurs domaines Active Directory ont été intégrés à la licence de ce locataire unique, qui a créé des lacunes de visibilité dans l’environnement. Microsoft note que l’acteur de menace a vérifié la présence de défenseur pour les services de point final, suggérant un effort délibéré pour éviter la détection en ciblant les systèmes non emballés.

Storm-0501 s’est ensuite déplacé latéralement à travers les locaux en utilisant la mauvaise-winrm, un outil post-exploitation qui utilise PowerShell sur Windows. Le groupe a ensuite effectué une attaque DCSYNC, une technique qui abuse du protocole distant du service de réplication de répertoire (DRS) pour simuler le comportement d’une gestion distante du contrôleur de domaine (WINRM) pour l’exécution de code distant, qui lui a donné la possibilité de demander des hachages de mot de passe pour tout utilisateur du domaine, y compris des comptes privilégiés.

Bien que Storm-0501 ait des titres de compétences valides, il n’avait pas les seconds facteurs de MFA nécessaires, ni en mesure de remplir les conditions politiques. Cependant, ils pouvaient tirer parti du contrôle sur site pour pivoter dans les domaines Active Directory et trouver une identité d’administration globale synchronisée non humaine qui manquait de MFA pour réinitialiser le mot de passe sur site de l’utilisateur, se connecter au portail Azure en tant que compte d’administration global et obtenir un contrôle complet sur le domaine tout en établissant un mécanisme de persistance.

Microsoft dit que Storm-0501 a créé une porte dérobée à l’aide d’un domaine fédéré par malveillance, leur permettant de se connecter comme presque n’importe quel utilisateur, de cartographier l’environnement entier et de comprendre ses protections. L’acteur de menace a ensuite ciblé les comptes de stockage Azure de l’organisation, exfiltrant les données à sa propre infrastructure.

Après avoir exfiltrant toutes les données, le groupe est ensuite des ressources azurières en masse, y compris les sauvegardes. Pour les fichiers qui n’ont pas pu être supprimés en raison des verrous des ressources Azure et des politiques d’immuabilité du stockage Azure, l’acteur de menace a tout simplement chiffré dans le cloud et a commencé la phase d’extorsion, en contactant les victimes utilisant le compte des équipes Microsoft de l’un des utilisateurs précédemment compromis.

Une approche holistique pour mettre les organisations sous pression

Digrippo de Microsoft souligne que l’aspect unique de cette nouvelle méthode est qu’il exploite des environnements hybrides qui ont à la fois des actifs sur site et cloud. «Ils vous mettent dans une situation où vous êtes sous une pression importante parce qu’ils ont augmenté les privilèges pour eux-mêmes sur votre surface et votre environnement cloud, puis ils détruisent vos sauvegardes, cryptant les données qui restent et vous disent essentiellement, vous ne pouvez pas en récupérer», dit-elle. « Vous devrez payer cette rançon ou vous êtes fermé en permanence. »

L’équipement sur site est la clé de Storm-0501 à réaliser cette chaîne d’attaque. « Lorsque l’acteur de menace peut entrer dans ceux-ci parce qu’ils sont vulnérables, pivotez dans le nuage, l’acteur de menace a vraiment les clés du royaume », explique Digrippo.

«Ce n’est pas ce que nous voyons traditionnellement avec la plupart des acteurs de la menace», souligne Digrippo. «Ils entrent dans l’environnement cloud, ils entrent dans l’environnement sur prémètre, ils suppriment les sauvegardes, ils passent par ces comptes d’utilisateurs, trouvant des comptes d’utilisateurs supplémentaires qu’ils peuvent ensuite briser et obtenir un accès persistant dans l’environnement. Il s’agit d’une attaque multi-forcuée qui met l’organisation dans une situation presque sans gain.

Ce que les cisos devraient faire

Digrippo dit que, parce que Storm-0501 exploite des comptes trop privilégiés, l’utilisation de l’accès des moindres privilèges est «super importante» pour les CISO pour aider à conjurer cette attaque.

Elle pense également que les CISO devraient savoir quel est leur manuel de ransomware et comprendre dans quelles circonstances ils paieront les rançon et qui est autorisé à prendre cette décision, qui doit être impliquée et gérer ces livres de jeu comme pratique plusieurs fois par an.

Enfin, les leaders de la sécurité devraient envisager de «faire un audit complet de vos environnements sur site et de comprendre ce que ce risque présente vraiment à votre organisation», explique Digrippo. « Alors que les transformations du cloud ont été achevées au cours des dernières années, beaucoup d’organisations ont en quelque sorte dit: » Oh, ce sont nos sur premier, nous ne pouvons pas bouger cela, c’est la super-légie. «  »

« Il est maintenant temps de vraiment comprendre ce que vous devriez déménager dans le nuage et ce que vous devriez durcir », prévient Digrippo. « La plus grande leçon pour moi est que ces environnements hybrides sont incroyablement vulnérables et incroyablement importants. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker in a dark hoody sitting in front of a notebook with digital north korean flag and binary streams background cybersecurity concept
Des pirates nord-coréens exploitent les outils de sécurité de Google pour effacer à distance
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
La Commission européenne DSGVO pour KI et Cookie-Tracking Lockern
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire
Qu’est-ce que Discord et est-ce dangereux ? | Chouette noire