Ransomware : Storm-0501 continue son adaptation à l’adoption du cloud

Il est tentant de penser que les cybercriminels se concentrent sur les systèmes d’information on-premise pour leurs attaques avec ransomware.

C’est rassurant : cela suggère que les environnements cloud sont préservés et peuvent limiter l’impact d’une cyberattaque sur l’activité. Et cela même si l’annuaire est tombé, de même que les environnements ESXi locaux, voire encore les sauvegardes. Mais c’est illusoire.

Il y a un an, Microsoft décrivait l’extension des attaques du groupe Storm-0501 vers des environnements cloud hybrides. Ce groupe, actif depuis 2021, cible des organisations en exploitant des failles de sécurité ou des identifiants volés, pour déployer des ransomwares tels que celui de l’enseigne Embargo. Storm-0501 utilise des outils open-source afin de compromettre les infrastructures locales et cloud, créant des accès persistants. Leurs tactiques incluent le vol d’identifiants Entra ID (anciennement Azure AD) pour compromettre les environnements cloud. 

Selon Microsoft, « Storm-0501 continue de démontrer son aptitude à passer d’un environnement sur site à un environnement cloud, illustrant ainsi la manière dont les acteurs malveillants s’adaptent à mesure que l’adoption du cloud hybride se généralise. Ils recherchent les appareils non managés et les failles de sécurité dans les environnements cloud hybrides afin d’échapper à la détection et d’étendre leurs privilèges cloud. Dans certains cas, ils traversent les tenants dans des configurations multitenants pour atteindre leurs objectifs ».

Dans un nouveau billet de blog, l’éditeur décrit « l’impact d’une récente attaque Storm-0501 sur un environnement cloud compromis. Nous retraçons comment l’acteur malveillant a réussi à propager un ransomware dans le cloud en exploitant les privilèges cloud, en tirant parti des failles de protection et de visibilité dans l’environnement compromis, et en passant d’un pivot local à un pivot cloud ».

Cette attaque a visé une « grande entreprises aux multiples filiales, chacune opérant son propre domaine Active Directory ». Ceux-ci étant interconnectés par le biais de relations de confiance.

« L’environnement cloud reflète cette complexité », explique Microsoft. « Différentes filiales gèrent des tenants Microsoft Azure distincts, avec une couverture variable des produits Microsoft Defender. Il est à noter qu’un seul tenant avait déployé Microsoft Defender for Endpoint et que les appareils de plusieurs domaines Active Directory étaient intégrés à la licence de ce locataire unique. Ce déploiement fragmenté a créé des lacunes en matière de visibilité dans l’ensemble de l’environnement ».

Sans surprise, « les domaines Active Directory étaient synchronisés avec plusieurs tenants Entra ID à l’aide de serveurs Entra Connect Sync. Dans certains cas, un seul domaine était synchronisé avec plusieurs tenants, ce qui compliquait encore davantage la gestion et la surveillance des identités ».

Tout est parti d’un premier domaine on-premise compromis : « le déploiement limité de Microsoft Defender for Endpoint dans l’environnement a considérablement entravé la détection », estime l’éditeur, relevant que l’attaquant a pris soin de vérifier la présence de l’EDR dans l’environnement.

« Après avoir compromis le premier tenant sur site, l’assaillant a exploité le compte de synchronisation d’annuaire (DSA) Entra Connect Sync pour répertorier les utilisateurs, les rôles et les ressources Azure au sein du tenant. Cette reconnaissance a été effectuée à l’aide d’AzureHound, un outil conçu pour cartographier les relations et les autorisations dans les environnements Azure et, par conséquent, trouver des voies d’attaque et des escalades potentielles », relate Microsoft.

L’attaquant a réussi à obtenir des identifiants valides. L’authentification à facteurs multiples (MFA) l’a semble-t-il entravé, sans faire plus toutefois que le retarder : il est passé à un autre serveur Entra Connect, associé à un autre tenant Entra ID et un autre domaine Active Directory.

Au final, l’attaquant « a abusé de la fonctionnalité de portée du chiffrement Azure Storage et a chiffré les blobs de stockage dans les comptes Azure Storage. Cela n’était toutefois pas suffisant, car l’organisation pouvait toujours accéder aux données avec les autorisations Azure appropriées ». Dès lors, « afin de rendre les données inaccessibles, le pirate a supprimé la clé utilisée pour le chiffrement ».

Microsoft rappelle que « que les coffres-forts Azure Key Vault et les clés utilisées à des fins de chiffrement sont protégés par la fonctionnalité de suppression temporaire Azure Key Vault, avec une période par défaut de 90 jours, qui permet à l’utilisateur de récupérer la clé/le coffre-fort supprimé, empêchant ainsi le chiffrement basé sur le cloud à des fins de ransomware ».

Toutefois, « après avoir réussi à exfiltrer et détruire les données dans l’environnement Azure, l’acteur malveillant a lancé la phase d’extorsion, au cours de laquelle il a contacté les victimes à l’aide de Microsoft Teams en utilisant l’un des comptes d’utilisateurs précédemment compromis, et a exigé une rançon ».