Microsoft veröffentlichte kürzlich einen eigenen Blogbeitrag, in dem sie auf Veränderungen in den Taktiken der berüchtigten Ransomware Gruppe Storm 0501 eingingen mit einem zunehmenden Fokus auf Cloud basierte Ransomware Angriffe.
Was hat sich geändert?
Im Laufe der Zeit hat Storm 0501 ihre Angriffspläne weiterentwickelt von einfachen On Premises Zielen hin zur gezielten Attacke auf hybride Systeme (Umgebungen mit teils lokaler, teils Cloud-basierter Infrastruktur).
Wichtige Erkenntnisse aus den aktuellen Angriffsmustern:
- Gezielte Angriffe auf Backups
- Verlagerung vom Einsatz von Malware hin zu Datenexfiltration und Vernichtung
- Eskalation kompromittierter Berechtigungen, um auf sensiblere Daten zuzugreifen
Beim jüngsten Angriff stellte Microsoft fest, dass sich Storm 0501 selbst die Azure Rolle „Owner“ über alle verfügbaren Azure-Subscriptions zugewiesen hatte, indem sie eine Microsoft.Authorization/roleAssignments/write-Operation ausführten.
Von diesem Punkt aus führte der Angreifer eine Reihe von Operationen durch, die zur Exfiltration und Löschung von Daten führten. Dazu gehörte auch eine umfassende Discovery Phase, in der die kritischen Assets der Organisation lokalisiert wurden darunter auch Datenspeicher mit sensiblen Informationen.
Daten, die durch unveränderliche Richtlinien geschützt waren, wurden in der Cloud verschlüsselt alles andere, was kopiert und gelöscht werden konnte, wurde entfernt. Anschließend erhielt das Opfer eine Lösegeldforderung über ein kompromittiertes Microsoft Teams Konto.
Was können wir tun?
Microsoft empfiehlt folgende Maßnahmen:
- Azure Blob Backup aktivieren, um vor Löschungen von Blobs oder Speicherkonten geschützt zu sein
- Prinzip der minimalen Rechtevergabe anwenden, wenn Zugriffsrechte auf Blob Daten in Azure Storage vergeben werden
- Protokollierung im Azure Key Vault aktivieren und Protokolle bis zu einem Jahr aufbewahren, um im Falle eines Vorfalls Aktivitätspfade rekonstruieren zu können
- Microsoft Azure Backup für virtuelle Maschinen aktivieren, um die Daten Ihrer Azure VMs zu schützen
- Untersuchen Sie Schwachstellenpfade im Bereich Microsoft Security Exposure Management für On Premises und Hybridumgebungen
Zero Trust Prinzipien helfen, gegen derartige Kompromittierungen zu schützen. Beim letzten Angriff identifizierte Storm 0501 eine synchronisierte, nicht menschliche Identität, die mit der Rolle „Global Administrator“ in Microsoft Entra ID versehen war. Dieses Konto hatte keine registrierte MFA Methode, was es dem Angreifer ermöglichte, das On Premises Passwort des Benutzers zurückzusetzen, dieses wurde kurz darauf über den Entra Connect Sync Dienst mit der Cloud Identität synchronisiert.
Wäre Multi Faktor Authentifizierung (MFA) verpflichtend gewesen und wären Zero Trust Richtlinien eingehalten worden, wäre der Angriff zumindest erheblich erschwert, wenn nicht sogar verhindert worden. Ebenso erschwert die Einhaltung der 3-2-1-Backup Regel eine vollständige Datenvernichtung, da Angreifer mehrere Systeme kompromittieren müssten.
Mit dem fortschreitenden Wandel zur Cloud werden Cloud basierte Ransomware Angriffe häufiger. Nutzer müssen sich anpassen und entsprechend vorbereiten.
Ihre Daten in Ihren Händen – Mit TECH-ARROW
