Nova Ameaça - Microsoft Detalha Uso de Nuvem pelo Storm-0501 para Ransomware
A Microsoft Threat Intelligence revelou que o grupo de cibercriminosos Storm-0501, conhecido por atacar escolas e prestadores de serviços de saúde nos EUA, evoluiu suas táticas, agora utilizando operações de ransomware nativas da nuvem. Em vez de depender apenas de malware para criptografar dispositivos locais, o grupo explora vulnerabilidades em ambientes de nuvem híbridos, realizando exfiltração de dados em larga escala e comprometendo recursos do Azure.
O ataque geralmente começa com a violação do Active Directory através de contas de administrador de domínio comprometidas, permitindo acesso ao Microsoft Entra ID. O Storm-0501 utiliza ferramentas como AzureHound para enumerar recursos na nuvem e escalar privilégios, muitas vezes através de contas mal configuradas que não exigem autenticação multifator (MFA). Após obter acesso total, o grupo realiza operações de descoberta e exfiltração, deletando backups e utilizando APIs legítimas do Azure para dificultar a recuperação dos dados. A extorsão final frequentemente ocorre por meio de mensagens no Microsoft Teams.