Embargo ransomware escalates attacks to cloud environments

A Microsoft alertou (27/09/2024) que o grupo Storm-0501, conhecido por suas atividades de ransomware, mudou sua estratégia e agora está focado em ambientes de nuvem híbrida, visando comprometer todos os ativos das vítimas. Originalmente afiliado ao ransomware Sabbath, o grupo passou a utilizar malwares de file-encrypting como Hive, BlackCat, e LockBit, e agora adota o ransomware Embargo.

Os ataques recentes têm como alvo hospitais, governos, indústrias e agências de segurança nos EUA. O grupo explora credenciais fracas e vulnerabilidades conhecidas para acessar redes, mover-se lateralmente e implantar o ransomware.

Principais Vulnerabilidades Exploradas

Storm-0501 utiliza brechas como:

  • CVE-2022-47966 (Zoho ManageEngine)
  • CVE-2023-4966 (Citrix NetScaler)
  • CVE-2023-29300 e CVE-2023-38203 (ColdFusion)

Uma vez dentro do sistema, o grupo usa ferramentas como Impacket e Cobalt Strike para mover-se na rede, rouba dados via um binário Rclone modificado, e desativa agentes de segurança usando comandos PowerShell.

Ataques na Nuvem

Após comprometer as credenciais do Microsoft Entra ID (antigo Azure AD), o grupo consegue mover-se dos ambientes on-premise para a nuvem, comprometendo contas de sincronização e sessões para manter acesso persistente.

O Storm-0501 também planta uma porta dos fundos criando um domínio federado dentro do Microsoft Entra, permitindo que se autentiquem como qualquer usuário conhecido.

Desdobramentos

O ransomware Embargo é implantado tanto nos ambientes on-premise quanto na nuvem, após os atacantes obterem controle suficiente e extrair dados sensíveis. Contudo, em alguns casos, o grupo mantém apenas o backdoor sem implantar o ransomware de imediato.

Em agosto de 2024, um afiliado do Embargo atacou a American Radio Relay League (ARRL) e recebeu US$ 1 milhão por um descriptografador funcional. Em outro incidente em maio, 500GB de dados sensíveis foram vazados após um ataque à Firstmac Limited na Austrália.

Para mais informações, veja o artigo original em Bleeping Computer aqui.

ATENÇÃO:

A CameIT recomenda que você proteja os ambientes em cloud com proteções adicionais seguindo o coceito de camadas com um plano de DR adequado jutamente com uma solução de backup avançada. Para saber como proteger seu ambiente em cloud entre em contato!

Publicado em: 28 de setembro de 2024Categorias: Segurança da Informação

Posts relacionados

Perfctl: Malware Silencioso Afeta Milhões de Servidores Linux
Cloudflare Bloqueia Maior Ataque DDoS Registrado, Atingindo 3,8 Tbps
Vulnerabilidade Crítica no Linux: Falhas no CUPS Podem Permitir Controle Remoto de Dispositivos