Zum Inhalt springen
Home » Cyberkriminelle Gruppe Storm-0501 setzt auf Cloud-basierte Ransomware

Cyberkriminelle Gruppe Storm-0501 setzt auf Cloud-basierte Ransomware

Die finanziell motivierte Cyberkriminellen-Gruppe Storm-0501 hat ihre Angriffstaktiken weiterentwickelt und konzentriert sich zunehmend auf Cloud-basierte Ransomware, wie Microsoft Threat Intelligence berichtet. Anstatt wie früher lokale Endgeräte mit Schadsoftware zu verschlüsseln, nutzt die Gruppe nun Cloud-native Funktionen, um große Datenmengen schnell zu exfiltrieren, Backups zu zerstören und Lösegeld zu fordern – ohne traditionelle Malware einzusetzen.

Storm-0501, seit 2021 aktiv, begann mit der Sabbath-Ransomware gegen US-Schulbezirke und griff 2023 den Gesundheitssektor an. 2024 setzte die Gruppe die Embargo-Ransomware ein, die im Ransomware-as-a-Service (RaaS)-Modell betrieben wird und doppelte Erpressungstaktiken nutzt: Datenverschlüsselung und Drohung mit Datenlecks. In einer kürzlich beobachteten Kampagne kompromittierte Storm-0501 ein Großunternehmen mit mehreren Tochtergesellschaften, die jeweils eigene Active Directory-Domänen und Azure-Tenants nutzen. Lücken in der Sicherheitsabdeckung, insbesondere durch unvollständige Bereitstellung von Microsoft Defender for Endpoint, erleichterten den Angriff.

Die Angreifer starteten mit einem Kompromittieren von Active Directory, führten Reconnaissance mit Tools wie AzureHound durch und bewegten sich lateral zu Microsoft Entra ID, um globale Administratorrechte zu erlangen. Dabei nutzten sie Schwächen wie fehlende Multi-Faktor-Authentifizierung (MFA) bei einem nicht-menschlichen Konto, dessen Passwort zurückgesetzt wurde, um Zugang zu erhalten. Durch Registrierung bösartiger föderierter Domänen mit AADInternals schufen sie persistente Hintertüren, um Benutzer zu imitieren.

Im Cloud-Bereich eskalierte Storm-0501 die Berechtigungen über Azure-Rollen (User Access Administrator und Owner), identifizierte kritische Daten in Azure Storage Accounts und exfiltrierte diese mit AzCopy. Anschließend löschten sie Snapshots, Wiederherstellungspunkte und Recovery Services Vaults, um Wiederherstellungsoptionen zu verhindern. Für geschützte Ressourcen nutzten sie Cloud-basierte Verschlüsselung, indem sie neue Azure Key Vaults und kundenspezifische Schlüssel erstellten, diese anschließend löschten, um Daten unzugänglich zu machen. Die Erpressung erfolgte über kompromittierte Microsoft Teams-Konten.

Microsoft empfiehlt, MFA flächendeckend einzusetzen, privilegierte Konten zu überwachen, Entra Connect Sync-Server zu sichern und Defender-Lösungen umfassend zu nutzen, um solche Angriffe zu verhindern. Die Entwicklung von Storm-0501 zeigt, wie Cyberkriminelle mit der zunehmenden Hybrid-Cloud-Nutzung ihre Taktiken anpassen und Sicherheitslücken gezielt ausnutzen.