Grupo de ransomware garante controlo total do Azure em ataques corporativos

A Microsoft revelou que o grupo de ransomware Storm-0501, com motivações financeiras, conseguiu comprometer ambientes de cloud híbrida e assumir controlo total do Azure em ataques recentes a grandes empresas. A operação foi marcada por roubo de dados, exclusão de informações críticas e tentativas de extorsão às vítimas.

Ativo desde pelo menos 2021, o Storm-0501 é conhecido pela utilização de múltiplas famílias de ransomware, entre elas Sabbath, Alphv/BlackCat, Hive, Hunters International, LockBit e Embargo. O grupo tem concentrado esforços em ambientes de cloud híbrida e locais, e adaptam constantemente as suas técnicas para maximizar o impacto.

Segundo a Microsoft, no último ano o Storm-0501 foi observado a comprometer ambientes do Active Directory, a migrar para o Entra ID, a escalar privilégios para administrador global e a instalar backdoors nas configurações de tenant. Além disso, recorreu ao ransomware tradicional para criptografar ficheiros em ambientes locais.

Num ataque recente, o grupo voltou a aplicar táticas conhecidas, tendo comprometido vários domínios do Active Directory, também realizou reconhecimento detalhado para identificar endpoints protegidos e utilizou a ferramenta Evil-WinRM para movimentação lateral, sem levantar suspeitas imediatas.

Durante a operação, o grupo comprometeu um servidor Entra Connect Sync e imitou o controlador de domínio para solicitar hashes de senha. Enumerou ainda utilizadores, funções e recursos do Azure, tentando aceder a contas privilegiadas através de credenciais roubadas.

Após falhas nas primeiras tentativas, o grupo comprometeu outro servidor Entra Connect e encontrou uma identidade sincronizada não humana com privilégios de administrador global. Alterou a senha dessa conta, acedendo ao Entra ID sem a barreira adicional de autenticação multifator, o que permitiu registar os novos métodos de autenticação sob o seu controlo.

Com estas credenciais, o Storm-0501 conseguiu aceder ao portal do Azure como administrador global, e obteve controlo total sobre o domínio da cloud. A partir daí, implementou um backdoor e criou um novo tenant do Entra ID, garantindo, assim, acesso persistente ao ambiente da vítima.

Com a posse desses privilégios, os atacantes elevaram a sua posição para a função de Proprietário do Azure em todas as subscrições da organização, e assumiram essencialmente todo o ecossistema da cloud empresarial.

Segundo a Microsoft, o grupo utilizou ferramentas como o AzureHound para localizar ativos críticos, incluindo dados sensíveis e sistemas de backup de endpoints locais e em cloud. Este reconhecimento aprofundado foi fundamental para o êxito da operação.

Os cibercriminosos exploraram ainda contas de armazenamento do Azure, roubaram chaves de acesso e expuseram recursos que não estavam originalmente acessíveis pela Internet. Em seguida, recorreram à ferramenta AzCopy para exfiltrar grandes volumes de dados.

Depois da extração, iniciou-se a exclusão em massa da informação para impedir medidas de recuperação. O grupo tentou também apagar proteções que limitavam a eliminação de determinados dados e aplicou criptografia baseada em cloud em recursos que não puderam ser destruídos.

A fase final do ataque foi marcada pela extorsão. O Storm-0501 contactou as vítimas através do Microsoft Teams e utilizou contas previamente comprometidas para exigir o pagamento de resgate. A Microsoft alerta que o grupo continua a demonstrar grande capacidade de adaptação, explorando lacunas em ambientes híbridos e multitenant para contornar medidas de segurança e atingir objetivos financeiros.