Microsoft ha alertado sobre la evolución de Storm-0501, un grupo de cibercriminales que ha cambiado su manera de operar. En lugar de cifrar directamente los dispositivos de las víctimas, ahora concentran sus ataques en entornos de nube, donde combinan el robo de información con tácticas de extorsión.
Estos atacantes aprovechan funciones propias de la nube para extraer datos, eliminar copias de seguridad y borrar cuentas de almacenamiento. Con esto, ejercen presión sobre las organizaciones sin necesidad de desplegar el clásico software de ransomware.
Storm-0501 lleva activo al menos desde 2021, año en el que se les vinculó al ransomware Sabbath. Con el tiempo, se sumaron a distintos programas de ransomware como servicio (RaaS), utilizando variantes como Hive, BlackCat (ALPHV), Hunters International, LockBit y, más recientemente, Embargo.
En septiembre de 2024, Microsoft ya había advertido que este grupo extendió sus operaciones hacia entornos híbridos de nube, comprometiendo primero Active Directory y luego inquilinos de Entra ID. En esos ataques, empleaban tanto puertas traseras creadas con dominios federados maliciosos como el ransomware Embargo en dispositivos locales.
Ahora, un nuevo informe señala un giro claro en su estrategia: Storm-0501 ha dejado atrás el cifrado tradicional en equipos locales y centra toda su actividad en la nube.
Según Microsoft, la diferencia con el ransomware clásico es clave: ya no se instalan programas maliciosos para cifrar archivos en ordenadores o servidores, sino que los atacantes usan directamente las capacidades de la nube para exfiltrar datos, destruir copias de seguridad y exigir rescates.
Cómo operan los ataques
En los incidentes recientes observados por Microsoft, los hackers explotaron fallas en Microsoft Defender para entrar en múltiples dominios de Active Directory e inquilinos de Entra. Tras eso, utilizaron cuentas de sincronización de directorios robadas para mapear usuarios y recursos en Azure con herramientas como AzureHound.
El punto de quiebre llegó cuando encontraron una cuenta de administrador global sin protección MFA. Esto les permitió restablecer la contraseña, obtener privilegios completos y añadir dominios federados maliciosos bajo su control, con lo que pudieron hacerse pasar por cualquier usuario y saltarse las medidas de seguridad.
Más tarde, aprovecharon la acción Microsoft.Authorization/elevateAccess/action para asignarse el rol de Propietario en Azure, consiguiendo así el control total del entorno.
Una vez adentro, desactivaron defensas, accedieron a datos sensibles y destruyeron copias de seguridad, instantáneas y cuentas de almacenamiento para evitar la recuperación gratuita de información. En los casos donde no lograron eliminar los respaldos, recurrieron al cifrado en la nube creando nuevas bóvedas de claves y cifrando con ellas los datos, dejándolos inaccesibles salvo que se pagara un rescate.
La fase final consistió en contactar a las víctimas directamente, incluso a través de Microsoft Teams con cuentas comprometidas, para exigir el pago.
El informe de Microsoft no solo describe estas técnicas, sino que también ofrece recomendaciones de defensa y consultas de detección en Microsoft Defender XDR.
El panorama sugiere que, dado que los cifradores tradicionales suelen ser bloqueados antes de actuar, más grupos criminales podrían optar por esta modalidad de ransomware en la nube, que resulta más difícil de identificar y detener.
Fuente:bleepingcomputer[.]com
