La nube, que muchos ven como el lugar más seguro para almacenar sus datos y ejecutar aplicaciones, se ha convertido en el nuevo blanco de los cibercriminales. Storm-0501, un ransomware cada vez más peligroso, ha intensificado sus ataques y ya está causando estragos en los entornos cloud. Aprovechando errores en la configuración y fallos de seguridad, este malware bloquea infraestructuras enteras, dejando a empresas sin acceso a su información más importante. Si tienes datos en la nube, es momento de estar alerta.
Microsoft ha lanzado una advertencia sobre un cambio en las tácticas del grupo de ransomware Storm-0501, que ahora está centrando sus ataques en entornos de nube híbrida. El objetivo del grupo es comprometer todos los activos posibles de sus víctimas, ampliando su alcance y peligrosidad.
Este grupo apareció en 2021 como afiliado de la operación de ransomware Sabbath, pero con el tiempo ha ido evolucionando. Primero usaban malware de cifrado de grupos conocidos como Hive, BlackCat, LockBit y Hunters International. Recientemente, se ha visto que están implementando el ransomware Embargo.
Entre sus víctimas más recientes, se encuentran hospitales, agencias gubernamentales, fábricas, empresas de transporte y fuerzas del orden en Estados Unidos, lo que muestra que están ampliando sus ataques a sectores críticos.
Storm-0501 aprovecha credenciales débiles y cuentas privilegiadas para entrar en entornos de nube. Su objetivo principal es robar datos y lanzar un ataque de ransomware. Según Microsoft, este grupo obtiene acceso inicial ya sea con credenciales robadas o compradas, o explotando vulnerabilidades conocidas en los sistemas.
Entre las fallas más recientes que han usado para atacar se encuentran CVE-2022-47966 (Zoho ManageEngine), CVE-2023-4966 (Citrix NetScaler) y posiblemente CVE-2023-29300 o CVE-2023-38203 (ColdFusion 2016). Una vez dentro de la red, los atacantes se mueven lateralmente utilizando herramientas como Impacket y Cobalt Strike, y extraen datos usando un programa personalizado llamado Rclone, que han renombrado para parecerse a una herramienta común de Windows. Además, desactivan las soluciones de seguridad utilizando comandos de PowerShell.
Una técnica clave que emplea Storm-0501 es aprovechar las credenciales robadas de Microsoft Entra ID (antes conocido como Azure AD), lo que les permite moverse de entornos locales a la nube. Las cuentas de sincronización de Microsoft Entra Connect, que sincronizan datos entre Active Directory local y Microsoft Entra ID, son objetivos particularmente valiosos porque suelen tener amplios privilegios.
Si los atacantes logran obtener las credenciales de estas cuentas de sincronización, pueden utilizar herramientas como AADInternals para cambiar contraseñas y eludir medidas de seguridad adicionales. Si además consiguen acceso a cuentas locales con altos privilegios, como las de administradores de dominio, y estas no tienen medidas de seguridad suficientes (como autenticación multifactor), pueden reutilizar esas credenciales para acceder nuevamente a la nube.
Una vez dentro del entorno de la nube, Storm-0501 asegura su acceso plantando una puerta trasera. Crean un nuevo dominio federado dentro de la cuenta de Microsoft Entra, lo que les permite autenticarse como cualquier usuario cuya propiedad "Immutableid" haya sido configurada por ellos. En la fase final del ataque, implementan el ransomware Embargo, tanto en los sistemas locales como en la nube de la víctima, o bien mantienen su acceso con la puerta trasera para futuros ataques.
"Una vez que los atacantes tomaron control suficiente de la red, lograron extraer archivos confidenciales y se movieron lateralmente al entorno en la nube. Fue entonces cuando desplegaron el ransomware Embargo en toda la organización", según explicó Microsoft.
"Notamos que el grupo de amenazas no siempre lanzaba el ransomware de inmediato; en algunos casos, simplemente mantenían acceso a la red a través de una puerta trasera".
El ransomware se ejecuta utilizando cuentas comprometidas, como las de administradores de dominio. Para distribuir la carga maliciosa, suelen usar tareas programadas o políticas de grupo (GPO), lo que les permite cifrar archivos en todos los dispositivos de la organización.
Cadena de ataques Storm-0501
Podría interesarte leer: Detección de Ataques de Ransomware con Wazuh
El grupo de amenazas detrás del ransomware Embargo utiliza malware escrito en Rust para operar su modelo de ransomware como servicio (RaaS). Básicamente, permiten que afiliados (otros ciberdelincuentes) utilicen su ransomware para atacar a empresas. A cambio, los afiliados comparten una parte de las ganancias con los desarrolladores. En agosto de 2024, uno de estos afiliados atacó a la American Radio Relay League (ARRL), logrando obtener un millón de dólares como pago por un descifrador para liberar los archivos secuestrados.
Unos meses antes, en mayo, otro afiliado de Embargo hackeó a Firstmac Limited, una de las mayores compañías de préstamos hipotecarios y gestión de inversiones de Australia. Cuando la empresa no cumplió con el plazo para negociar, los atacantes filtraron 500 GB de datos confidenciales robados.
El ransomware Embargo está creciendo como una amenaza seria para la seguridad en la nube. A medida que más empresas migran sus operaciones a estos entornos, los atacantes también están ajustando sus tácticas para aprovechar cualquier punto débil. La buena noticia es que, con una estrategia de seguridad sólida, puedes estar un paso adelante. Usar autenticación multifactor, hacer copias de seguridad de forma regular y tener una monitorización constante son pasos clave para proteger tus sistemas. En resumen, la mejor defensa es prevenir y estar listos para actuar rápidamente si ocurre un ataque.
Aquí es donde entra en juego una solución como TecnetProtect. Esta plataforma no solo te protege frente a amenazas de ciberseguridad, sino que también asegura que tengas backups automáticos y seguros de tus datos. De este modo, si llegas a sufrir un ataque, tus archivos estarán a salvo y podrás recuperarlos sin tener que pagar un rescate.
La clave está en prevenir y contar con las herramientas adecuadas para reaccionar rápido en caso de emergencia. Si ocurriera un ataque mañana, ¿tienes la confianza de que podrías recuperarte sin perder tus datos más valiosos?