Microsoft, Storm-0501'i Hibrit Bulut Fidye Yazılımı Saldırıları İçin Önemli Bir Tehdit Olarak İşaret Etti.

27.09.2024

Storm-0501, ABD'deki hükümet, imalat, ulaşım ve kolluk kuvvetleri gibi kritik sektörleri hedef alarak karmaşık fidye yazılımı saldırıları düzenlemeye aktif olarak devam ediyor. Bu tehdit aktörünün çok aşamalı kampanyası, hibrit bulut ortamlarını ele geçirmeyi amaçlamakta ve yerel sistemlerle bulut sistemleri arasında yatay hareket sağlamaktadır. Bu saldırıların nihai hedefi, veri çalmak, kimlik bilgilerini elde etmek, kalıcı erişim sağlamak ve fidye talep etmek için fidye yazılımı dağıtmaktır.

Microsoft, Storm-0501’i, operasyonlarını yürütmek için hem ticari hem de açık kaynak araçları kullanan finansal motivasyona sahip bir siber suç grubu olarak tanımlamıştır. 2021’den beri aktif olan bu grup, başlangıçta Sabbath (54bb47h) fidye yazılımı ile eğitim sektörlerine odaklanmış, sonrasında ise fidye yazılımı hizmeti (RaaS) modeline geçiş yapmıştır. Bu model aracılığıyla Hive, BlackCat (ALPHV), Hunters International, LockBit ve en son olarak Embargo gibi birçok fidye yazılımı çeşidini yıllar içinde dağıtmışlardır.

Storm-0501'in saldırı stratejisinin belirleyici bir özelliği, zayıf kimlik bilgileri ve aşırı yetkilendirilmiş hesapları istismar etmeleridir; bu, onlara yerel sistemlerden bulut altyapılarına geçiş yapma imkanı tanır. Genellikle, Storm-0249 ve Storm-0900 gibi aracılar aracılığıyla veya Zoho ManageEngine, Citrix NetScaler ve Adobe ColdFusion 2016 gibi yamalanmamış sunuculardaki bilinen güvenlik açıklarını kullanarak ilk erişimi elde ederler. İçeri girdiklerinde, yüksek değerli varlıkları belirlemek ve ağ üzerinde daha derin bir kontrol sağlamak için keşif çalışmaları yürütürler.

Storm-0501, ağ boyunca yatay hareket için genellikle Cobalt Strike gibi ileri düzey araçlar kullanır ve çok çeşitli cihazlardan kimlik bilgilerini çıkarmak için Impacket’in SecretsDump aracını kullanır. Daha sonra, verileri MegaSync gibi halka açık bulut depolama hizmetlerine Rclone kullanarak sızdırırlar. Ayrıca, hem yerel hem de bulut sistemleri üzerindeki kontrolü sürdürmek için kalıcı arka kapı erişimi sağlarlar; bu, fidye yazılımı dağıtımı için zemin hazırlar.

Saldırı, 2024 yılında ilk kez keşfedilen Rust tabanlı fidye yazılımı Embargo'nun dağıtımıyla sonlanır; bu yazılım, dosyaları şifreleyerek kurbanları fidye ödemeye zorlamak amacıyla veri sızıntısıyla tehdit eder. RaaS modeli altında faaliyet gösteren Storm-0501 ve ortakları, fidye talep eden Embargo platformunu kullanarak, fidye taleplerini karşılamayan kurbanları hassas verileri ifşa etme tehdidiyle hedef almaktadır.