Aktor ancaman yang dikenal sebagai Storm-0501 telah menargetkan sektor pemerintahan, manufaktur, transportasi, dan penegakan hukum di AS untuk melancarkan serangan ransomware.
Kampanye serangan multi-tahap ini dirancang untuk menyusupi lingkungan cloud hybrid dan melakukan perpindahan lateral dari lingkungan lokal ke lingkungan cloud, yang pada akhirnya mengakibatkan eksfiltrasi data, pencurian kredensial, gangguan, akses pintu belakang yang persisten, dan penyebaran ransomware, kata Microsoft.
“Storm-0501 adalah kelompok penjahat dunia maya yang bermotivasi finansial yang menggunakan komoditas dan alat sumber terbuka untuk melakukan operasi ransomware,” menurut tim intelijen ancaman raksasa teknologi tersebut.
Aktif sejak tahun 2021, pelaku ancaman ini memiliki riwayat menargetkan entitas pendidikan dengan ransomware Sabbath (54bb47h) sebelum berkembang menjadi afiliasi ransomware-as-a-service (RaaS) yang mengirimkan berbagai muatan ransomware selama bertahun-tahun, termasuk Hive, BlackCat (ALPHV) , Hunters International, LockBit, dan ransomware Embargo.
Aspek penting dari serangan Storm-0501 adalah penggunaan kredensial yang lemah dan akun dengan hak istimewa yang berlebihan untuk berpindah dari organisasi lokal ke infrastruktur cloud.
Metode akses awal lainnya termasuk menggunakan pijakan yang sudah dibuat oleh broker akses seperti Storm-0249 dan Storm-0900, atau mengeksploitasi berbagai kerentanan eksekusi kode jarak jauh yang diketahui di server yang terhubung ke internet yang belum ditambal seperti Zoho ManageEngine, Citrix NetScaler, dan Adobe ColdFusion 2016.
Akses yang diberikan oleh salah satu pendekatan yang disebutkan di atas membuka jalan bagi operasi penemuan ekstensif untuk menentukan aset bernilai tinggi, mengumpulkan informasi domain, dan melakukan pengintaian Direktori Aktif. Hal ini diikuti dengan penerapan alat pemantauan dan manajemen jarak jauh (RMM) seperti AnyDesk untuk menjaga persistensi.
“Pelaku ancaman memanfaatkan hak istimewa admin pada perangkat lokal yang disusupinya selama akses awal dan berusaha mendapatkan akses ke lebih banyak akun dalam jaringan melalui beberapa metode,” kata Microsoft.
“Pelaku ancaman terutama menggunakan modul SecretsDump dari Ipacket, yang mengekstrak kredensial melalui jaringan, dan memanfaatkannya di sejumlah besar perangkat untuk mendapatkan kredensial.”
Kredensial yang disusupi kemudian digunakan untuk mengakses lebih banyak perangkat dan mengekstrak kredensial tambahan, dan pelaku ancaman secara bersamaan mengakses file sensitif untuk mengekstrak rahasia KeePass dan melakukan serangan brute force untuk mendapatkan kredensial untuk akun tertentu.
Microsoft mengatakan pihaknya mendeteksi Storm-0501 menggunakan Cobalt Strike untuk bergerak secara lateral di seluruh jaringan menggunakan kredensial yang disusupi dan mengirimkan perintah lanjutan. Eksfiltrasi data dari lingkungan lokal dilakukan dengan menggunakan Rclone untuk mentransfer data ke layanan penyimpanan cloud publik MegaSync.
Pelaku ancaman juga terlihat menciptakan akses pintu belakang (backdoor) yang persisten ke lingkungan cloud dan menyebarkan ransomware ke lingkungan lokal, menjadikannya aktor ancaman terbaru yang menargetkan pengaturan cloud hybrid setelah Octo Tempest dan Manatee Tempest.
Pelaku ancaman menggunakan kredensial, khususnya Microsoft Entra ID (sebelumnya Azure AD), yang dicuri dari serangan sebelumnya untuk berpindah secara lateral dari lingkungan lokal ke lingkungan cloud dan membangun akses persisten ke jaringan target melalui pintu belakang. ” kata Redmond.
Peralihan ke cloud dikatakan dapat dilakukan melalui akun pengguna Microsoft Entra Connect Sync yang disusupi atau melalui pembajakan sesi cloud terhadap akun pengguna lokal yang memiliki akun admin masing-masing di cloud dengan autentikasi multi-faktor (MFA) dinonaktifkan .
Serangan ini mencapai puncaknya dengan penyebaran ransomware Embargo ke seluruh organisasi korban setelah memperoleh kontrol yang memadai atas jaringan, mengekstraksi file yang diinginkan, dan pergerakan lateral ke cloud. Embargo adalah ransomware berbasis Rust yang pertama kali ditemukan pada Mei 2024.
“Beroperasi di bawah model RaaS, kelompok ransomware di balik Embargo memungkinkan afiliasi seperti Storm-0501 menggunakan platformnya untuk melancarkan serangan dengan imbalan bagian dari uang tebusan,” kata Microsoft.
“Afiliasi embargo menggunakan taktik pemerasan ganda, di mana mereka terlebih dahulu mengenkripsi file korban dan mengancam akan membocorkan data sensitif yang dicuri kecuali uang tebusan dibayarkan.”
Pengungkapan ini terjadi ketika kelompok ransomware DragonForce telah menargetkan perusahaan di sektor manufaktur, real estate, dan transportasi menggunakan varian pembuat LockBit3.0 yang bocor dan versi Conti yang dimodifikasi.
Serangan tersebut ditandai dengan penggunaan pintu belakang SystemBC untuk persistensi, Mimikatz dan Cobalt Strike untuk pengambilan kredensial, dan Cobalt Strike untuk pergerakan lateral. Amerika menyumbang lebih dari 50% dari total korban, diikuti oleh Inggris dan Australia.
“Kelompok ini menggunakan taktik pemerasan ganda, mengenkripsi data, dan mengancam akan membocorkan data kecuali uang tebusan dibayarkan,” kata Group-IB yang berkantor pusat di Singapura. “Program afiliasi, yang diluncurkan pada 26 Juni 2024, menawarkan 80% uang tebusan kepada afiliasi, bersama dengan alat untuk manajemen serangan dan otomatisasi.”