Shock del sistema: ransomware Storm-0501 si sposta nel cloud

La buona notizia? Nel complesso, i tassi di ransomware sono in calo. Nel 2025, poco più del 60% delle aziende ha segnalato attacchi ransomware, il numero più basso dal 2020.

La notizia non così buona? Gli hacker stanno cambiando tattica. Come osservato da una recente analisi della sicurezza di Microsoft, l'attore delle minacce Storm-0501 ha ora spostato il ransomware fuori sede, mettendo a rischio sia gli ambienti ibridi che quelli cloud. Ecco cosa devi sapere.

Come: nozioni di base sull'attacco Storm-0501

Le distribuzioni tradizionali di ransomware avvengono on-premises. Gli hacker compromettono le reti locali e distribuiscono payload dannosi. Una volta eseguiti, questi payload crittografano file chiave e gli hacker richiedono un riscatto per la chiave di decrittazione.

Fino a poco tempo fa, Storm-0501 seguiva questo copione di payload, ma nel 2024 l'attore della minaccia ha distribuito una nuova variante di malware in grado di compromettere gli ambienti cloud. L'attacco inizia con un punto d'appoggio. Gli attaccanti informatici compromettono gli ambienti di Active Directory e poi si spostano su Microsoft Entra ID. Successivamente, aumentano i privilegi per ottenere un controllo a livello di amministratore.

Ciò consente loro di aggiungere domini federati che consentono un accesso illimitato alla rete e consente anche di distribuire ransomware on-premises. Il risultato è un colpo combinato. Utilizzando ransomware tradizionale, gli attori delle minacce possono crittografare i dati in loco e richiedere un pagamento per il loro rilascio. Sfruttando l'accesso completo al cloud, nel frattempo, possono esfiltrare asset memorizzati, eliminare backup e trattenere i dati per riscatto.

Cosa: Condizioni comuni per compromesso

La chiave del successo di Storm-0501 risiede nel suo approccio duale al compromesso, che consente all'attore della minaccia di sfruttare lo spazio tra le implementazioni on-premise e basate su cloud.

In parole povere, gli ambienti ibridi sono più complessi dei loro equivalenti puramente locali. Affinché le aziende possano sfruttare al massimo sia le risorse cloud che quelle locali, hanno bisogno di ponti digitali che connettano risorse, servizi e applicazioni disparati. È questa zona grigia digitale che crea potenziali problemi.

Considerare l'analisi di Microsoft di un attacco utilizzando Storm-0501. L'azienda presa di mira gestiva più filiali, ciascuna con il proprio set di tenant cloud Azure distinti ma interconnessi. Ciascuno di questi tenant aveva una postura di sicurezza diversa e solo uno utilizzava Microsoft Defender per Endpoint. Inoltre, la ricerca di Microsoft ha rilevato che più domini Active Directory erano sincronizzati con più di un tenant, rendendo più difficile per i team IT gestire e monitorare queste istanze cloud.

L'attacco è iniziato con molteplici compromissioni dei sistemi on-premise. Gli attori delle minacce hanno poi utilizzato comandi come "sc query sense" e "sc query windefend" per verificare se Defender for Endpoint fosse attivo. In caso affermativo, hanno utilizzato uno strumento PowerShell su Windows Remote Management (WinRM) noto come Evil-WinRM per spostarsi lateralmente. Una volta identificati i sistemi senza difesa attiva, hanno effettuato un attacco DCSync per simulare un controller di dominio e richiedere gli hash delle password per tutti gli utenti attivi. Questo ha consentito un accesso quasi completo ai tenant cloud e a tutti i dati memorizzati, permettendo così l'esfiltrazione e la crittografia.

Una volta completato questo processo, gli hacker hanno utilizzato un account Teams appartenente a una delle identità compromesse dell'azienda per contattare i dirigenti e chiedere un riscatto.

Dove: Aree per una protezione migliorata

Secondo Sherrod DeGrippo, direttore dell'intelligence sulle minacce di Microsoft, Storm-0501 rappresenta un rischio significativo . "Questo attore di minacce ha un'adattabilità rapida e un targeting indifferente al settore," afferma. "Storm-0501 ha dimostrato la capacità di cambiare rapidamente tattiche e prendere di mira un'ampia gamma di settori, il che significa che qualsiasi organizzazione che utilizza servizi cloud potrebbe essere un bersaglio."

Per le imprese, il passaggio al compromesso cloud indica la necessità di una protezione potenziata in tre aree chiave:

Rilevamento

Prima le aziende possono rilevare potenziali compromissioni, meglio sono preparate per eliminare i problemi e rimediare agli impatti. In pratica, ciò richiede soluzioni come endpoint detection and response (EDR) che vanno oltre i framework antivirus standard per bloccare le minacce basandosi su regole comportamentali personalizzate o condizioni operative. 

Accesso

Indipendentemente dal tipo o obiettivo del ransomware, le aziende traggono sempre vantaggio dal principio del privilegio minimo. Meno persone hanno accesso alle funzioni amministrative, meglio è.

Questo inizia con soluzioni come l'autenticazione multifattoriale (MFA). Garantendo che gli utenti debbano fornire qualcosa che possiedono o qualcosa che sono in aggiunta a ciò che sanno, le aziende possono ridurre il rischio di compromissione. Successivamente, ci sono le politiche di accesso condizionale. Invece di adottare un approccio una tantum, le politiche di accesso condizionale valutano più fattori ogni volta che gli utenti tentano di accedere. Ad esempio, se un utente tenta di accedere al di fuori del proprio normale orario di accesso e da una nuova posizione, l'accesso condizionale potrebbe richiedere una verifica aggiuntiva.

E questi vantaggi non sono solo teorici — secondo l'analisi di Microsoft, il primo tentativo degli attaccanti di accedere come utenti privilegiati su tenant ibridi compromessi è stato infruttuoso a causa dell'MFA e dell'accesso condizionale, costringendoli a cambiare dominio e riprovare.

Archiviazione

Gli sforzi riusciti di ransomware dipendono dal compromettere l'archiviazione attraverso crittografia, esfiltrazione o eliminazione. Di conseguenza, i processi di archiviazione dati migliorati possono aiutare a frustrare gli sforzi degli hacker. Un esempio è l'archiviazione immutabile, sia per i dati archiviati nel cloud che per i backup di dati . Il concetto dietro l'archiviazione immutabile è semplice: non può essere modificata. Le aziende stabiliscono le loro politiche preferite, come scrivere una volta, leggere molte (WORM), e possono stare più tranquille sapendo che i dati non sono modificabili. Questo tipo di archiviazione è particolarmente utile per i backup. Anche se gli hacker riescono a compromettere ed eliminare risorse chiave, le aziende possono recuperare e ripopolare i dati non corrotti una volta che le minacce sono confinate ed eliminate.

Superare la tempesta

Man mano che la sicurezza in loco migliora, gli attaccanti stanno cercando nei cloud ibridi nuovi percorsi di compromesso. Per molte aziende, la natura multi-dominio e multi-tenant dei loro ambienti cloud le rende suscettibili a questi attacchi, specialmente se le pratiche di sicurezza non sono coerenti tra le reti delle sussidiarie.

Superare con successo la tempesta significa adottare un approccio di protezione a tre punte che dà priorità alla rilevazione, limita l'accesso e fornisce un percorso per il completo ripristino dei dati.