Microsoft popsal novou vlnu útoků finančně motivované skupiny Storm-0501, která se zaměřuje na hybridní prostředí a cloudové zdroje v Azure. Místo tradičního ransomwaru nasazuje postupy založené na nativních cloudových schopnostech: rychlá exfiltrace dat, ničení zdrojů a záloh a následné vydírání. „Cloudový ransomware přináší zásadní posun – útočníci využívají platformu oběti proti ní,“ uvádí tým Microsoft Threat Intelligence. Počáteční přístup obvykle zajišťují zprostředkovatelé typu Storm-0249 a Storm-0900 skrze odcizené účty nebo známé zranitelnosti na veřejně vystavených serverech (např. Zoho ManageEngine, Citrix NetScaler, Adobe ColdFusion 2016). V popsaném incidentu útočníci eskalovali oprávnění v AD, použili DCSync, kompromitovali Entra Connect a identifikovali synchronizovanou identitu s globální rolí správce bez MFA. Resetem hesla on-prem a synchronizací do cloudu získali přístup do Azure Portalu, registrovali vlastní federaci a po exfiltraci hromadně mazali cloudové zdroje. Microsoft zavedl omezení zneužití účtů Directory Synchronization, aktualizoval Entra Connect (2.5.3.0) a doporučuje zapnout TPM na Entra Connect Sync serverech. Incident ukazuje, jak důležité je zavést segmentaci identit, zásadu nejnižších oprávnění a povinné MFA i pro servisní účty v hybridních scénářích.
Zdroj: The Hacker News