微软近日警告称,一个名为 Storm-0501 的威胁组织正在改变其作案手法,从以往对本地设备的勒索加密,转向 云端加密、数据窃取与勒索。
不同于传统勒索软件依赖恶意加密程序,Storm-0501 现在直接 利用云原生功能 实现数据窃取、删除备份、销毁存储账户等目的,从而向受害者施压并进行敲诈,而无需部署任何传统勒索工具。
背景回顾
Storm-0501 至少自 2021 年起活跃,最初通过 Sabbath 勒索软件攻击全球组织。此后,该组织逐渐加入多个 勒索即服务(RaaS)平台,先后使用 Hive、BlackCat(ALPHV)、Hunters International、LockBit 以及近期的 Embargo 勒索软件。
2024 年 9 月,微软曾披露该组织将攻击范围延伸至 混合云环境,从入侵本地 Active Directory 转向针对 Entra ID 租户。在此类攻击中,他们或通过恶意联合域创建持久后门,或使用 Embargo 等勒索软件加密本地设备。
全新战术:云端勒索
在微软今日发布的最新报告中,Storm-0501 被发现已不再依赖本地设备加密,而是完全在云环境中展开攻击。
微软威胁情报团队指出:
“与传统本地勒索不同,云端勒索意味着攻击者无需在终端部署恶意加密器,而是直接利用云原生功能来窃取数据、销毁备份并勒索受害者。这是一种根本性的战术转变。”
攻击链条
微软的调查揭示了 Storm-0501 的攻击步骤:
-
初始突破
- 攻击者利用 Microsoft Defender 部署中的缺口,入侵多个 Active Directory 域与 Entra 租户。
- 使用窃取的 目录同步账户(DSA) 配合 AzureHound 工具,枚举用户、角色和 Azure 资源。
-
权限提升
- 攻击者发现一个 未启用多因素认证(MFA)的全局管理员账户,通过重置密码获得完全控制权。
- 随后新增恶意联合域,以此冒充任意用户,绕过域内的 MFA 保护。
- 进一步滥用 Microsoft.Authorization/elevateAccess/action,将自己加入 Owner 角色,完全接管受害组织的 Azure 环境。
-
破坏与加密
- 禁用安全防护,窃取 Azure Storage 中的敏感数据。
- 尝试删除存储快照、恢复点、恢复服务保管库以及存储账户,阻止受害者免费恢复数据。
- 在无法直接删除数据时,创建新的 Key Vault 与自定义密钥,对数据进行再次加密,受害者必须支付赎金才能重新访问。
-
勒索阶段
- 在数据窃取与破坏完成后,攻击者通过 被攻陷的 Microsoft Teams 账户联系受害者,直接递送勒索信息。
趋势与启示
微软提醒,随着传统勒索加密器在终端层面越来越容易被拦截,其他威胁组织可能会仿效 Storm-0501,转向 更隐蔽、更难检测的云端勒索与数据窃取手法。
微软报告中还提供了防护建议、Microsoft Defender XDR 检测规则以及狩猎查询,以帮助组织识别与拦截相关攻击战术。
这种 “无恶意软件化” 的云端勒索模式 标志着勒索攻击的又一次进化:它跳过了传统加密工具,直接利用云自身的功能实现控制与勒索。对于企业而言,如何加强云环境的身份安全与备份防护,将是未来防御的关键。
发表评论
您还未登录,请先登录。
登录