Az Embargo zsarolóvírus támadásokat indít a felhőalapú környezetek ellen

kami911 képe
Beküldte kami911 -

A Microsoft figyelmeztetett, hogy a Storm-0501 nevű zsarolóvírus-csoport új taktikát alkalmaz, és most már hibrid felhőkörnyezeteket céloz meg, kibővítve stratégiáját, hogy az áldozatok összes eszközét kompromittálja. A fenyegetés 2021-ben jelent meg először, mint a Sabbath zsarolóvírus művelet társvállalkozója. Később olyan fájltitkosító zsarolóprogramokat kezdett telepíteni, mint a Hive, BlackCat, LockBit és Hunters International. Legutóbb az Embargo zsarolóvírust alkalmazták. A Storm-0501 legújabb támadásai kórházakat, kormányzati szervezeteket, gyártó- és szállítmányozási vállalatokat, valamint amerikai bűnüldöző szerveket céloztak meg.

Storm-0501 támadási folyamata

A támadó a gyenge jelszavak kihasználásával és előjoggal rendelkező fiókok segítségével fér hozzá a felhőkörnyezetekhez, célja pedig adatok ellopása és zsarolóprogramok telepítése. A Microsoft szerint a Storm-0501 ellopott vagy vásárolt hitelesítési adatokkal, illetve ismert sérülékenységek kihasználásával szerez kezdeti hozzáférést a hálózathoz. A közelmúltbeli támadások során kihasznált hibák közé tartozik a CVE-2022-47966 (Zoho ManageEngine), a CVE-2023-4966 (Citrix NetScaler), valamint valószínűleg a CVE-2023-29300 vagy a CVE-2023-38203 (ColdFusion 2016).

A támadó laterális mozgást hajt végre olyan keretrendszerek segítségével, mint az Impacket és a Cobalt Strike, adatokat lop egy egyedi Rclone bináris program segítségével, amelyet egy Windows eszköznek álcáz, és PowerShell parancsokkal kikapcsolja a biztonsági ügynököket. A Microsoft Entra ID (korábban Azure AD) ellopott hitelesítő adatait kihasználva a Storm-0501 átterjed a felhőalapú környezetekre, veszélyeztetve a szinkronizációs fiókokat és átveszi a vezérlést a munkamenetek felett.

Embargo zsarolóvírus tevékenység

Az Embargo zsarolóvírus csoport Rust alapú kártevőt használ, hogy zsarolóvírus-szolgáltatást (RaaS) működtessen, amely partnereket fogad, akik betörnek a cégekhez, telepítik a vírust, majd megosztják a profitot a fejlesztőkkel. 2024 augusztusában egy Embargo zsarolóvírus társvállalkozó megfertőzte az Amerikai Rádiórelé Ligát (ARRL), és 1 millió dollárt kapott egy működő visszafejtő eszközért cserébe. Az év elején, májusban egy másik Embargo partner betört az ausztrál Firstmac Limited-hez, amely az ország egyik legnagyobb jelzáloghitelező és befektetéskezelő vállalata, és 500 GB érzékeny adatot szivárogtatott ki, miután a tárgyalási határidő lejárt.