Un attacco informatico che parte da un singolo computer e che si diffonde nel cloud rubando tutti i dati possibili: come difendersi dalla minaccia.
In un mondo sempre più digitalizzato, la sicurezza informatica è diventata una priorità assoluta per aziende e privati. Recentemente, gli esperti del Microsoft Threat Intelligence hanno lanciato un allarme riguardante l’evoluzione delle tecniche utilizzate dal gruppo cybercriminale noto come Storm-0501. Questo gruppo ha dimostrato una capacità preoccupante di adattarsi e innovare nel campo degli attacchi ransomware, passando da versioni on-premises a quelle basate sul cloud.
La strategia di Storm-0501 si è evoluta in modo significativo, mostrando una predilezione per gli attacchi mirati alle infrastrutture cloud delle aziende. L’accesso iniziale ai sistemi viene generalmente ottenuto sfruttando credenziali rubate o vulnerabilità software non corrette. Una volta all’interno del sistema, i cybercriminali utilizzano vari strumenti per acquisire privilegi amministrativi elevati, come dimostra il caso analizzato da Microsoft relativo a un’azienda con diverse sussidiarie.
Ransomware di Storm-0501: come funziona e come fare a proteggersi
Il modus operandi include la ricerca di dispositivi non protetti e l’estrazione di credenziali attraverso tecniche sofisticate come l’attacco DCSync. Utilizzando lo strumento AzureHound, sono in grado di mappare utenti, ruoli e risorse all’interno dell’ambiente Azure dell’azienda bersaglio. In un caso specifico menzionato da Microsoft, i criminali hanno bypassato le misure di sicurezza trovando un account amministratore senza autenticazione multi-fattore (MFA), prendendo così il controllo dell’intera infrastruttura cloud Azure dell’azienda.
Una volta ottenuto il controllo completo del cloud Azure, il gruppo Storm-0501 procede con l’installazione di backdoor per garantirsi accessi futuri al sistema compromesso. Successivamente elevano i propri privilegi per accedere a tutte le risorse disponibili, esfiltrano dati dagli account Azure Storage e procedono alla cancellazione dei backup esistenti. Infine cifrano tutti i dati presenti con il loro ransomware e richiedono un riscatto tramite Teams usando uno degli account compromessi.
Di fronte a questa minaccia crescente basata sul cloud, Microsoft ha fornito una serie di raccomandazioni volte a rafforzare la sicurezza sia delle risorse che delle identità gestite nel cloud oltre che on-premises. Tra queste misure si evidenziano l’implementazione dell’autenticazione multi-fattore (MFA), il monitoraggio continuo degli accessi, la formazione dei dipendenti riguardante le minacce informatiche, il mantenimento di backup regolari dei dati importanti, e l’utilizzo della segmentazione della rete per limitare l’accessibilità tra diversi segmenti della rete.
L’aumento degli attacchi ransomware basati sul cloud rappresenta una sfida significativa per la sicurezza informatica globale; tuttavia, adottando approcci proattivi alla sicurezza ed educando gli utenti sui potenziali rischi si possono mitigare le minacce poste da gruppi come Storm-0501.
