详细内容或原文请订阅后点击阅览
入侵者在众议院:Storm-0501攻击了Azure,偷走了数据,要求通过团队付款
不要让它发生在以财务动机的网络犯罪船员身上发生的Youstorm-0501,最近闯入了大型企业的本地和云环境,最终在组织的Azure环境中驱逐并破坏数据。然后,犯罪分子通过Microsoft Teams帐户与受害者联系,他们在袭击中也妥协了,要求对被盗档案支付赎金。
来源:The Register _恶意软件Storm-0501是一名以财务动机的网络犯罪工作人员,最近闯入了一个大型企业的本地和云环境,最终在组织的Azure环境中渗透并破坏数据。然后,犯罪分子通过Microsoft Teams帐户与受害者联系,他们在袭击中也妥协了,要求对被盗档案支付赎金。
根据微软的威胁情报团队的说法,这次攻击说明了勒索软件策略的可怕转变,勒索软件策略正在远离传统的基于端点的攻击和基于云的勒索软件。
“利用云本地功能,Storm-0501迅速渗透了大量数据,在受害者环境中摧毁了数据和备份,并要求赎金 - 所有这些都不依赖于传统的恶意软件部署,”雷德蒙德在周三的报告中写道。
寄存器“ Storm”是Microsoft用于新兴威胁组的命名约定,并于2024年9月详细介绍了Storm-0501如何将其本地勒索软件操作扩展到混合云环境中。
Storm-0501扩展了其本地勒索软件在这些较早的攻击中,机组人员损害了Active Directory环境,然后旋转到Microsoft Entra ID,在植入后门和某些情况下,在植入后门和部署Ransomware之前,在混合动力和云身份上升级了特权,以获得全局管理员级特权。
在最近的攻击中,Storm-0501再次升级了特权,并在折衷环境中滥用了身份,从本地转向云。
滥用身份受害公司有多个子公司,每个子公司都经营着自己的Active Directory域,该域配置为允许跨域身份验证和资源访问。
此外,使用Entra Connect Sync Server同步了Active Directory域与多个ENTRA ID租户同步,在某些情况下,将一个域同步到多个租户,使身份管理成为艰巨的任务。