【新闻转载】Storm-0501:勒索软件攻击扩展到混合云环境

news2024/11/20 15:20:54

       icrosoft发出警告,勒索软件团伙Storm-0501近期调整了攻击策略,目前正将目标瞄准混合云环境,旨在全面破坏受害者的资产。

       该威胁行为者自2021年首次露面,起初作为Sabbath勒索软件行动的分支。随后,他们开始分发来自Hive、BlackCat、LockBit和Hunters International团伙的文件加密恶意软件。近期,他们被观察到部署了Embargo勒索软件。

       Storm-0501的最新攻击波及了美国的多家医院、政府机构、制造业和运输公司,以及执法部门。

       据Microsoft透露,这一多阶段的攻击活动旨在破坏混合云环境,并实现从本地网络到云环境的横向移动,最终导致数据泄露、凭据被盗、系统篡改、持续的后门访问以及勒索软件的部署。

       "Storm-0501是一个以经济利益为驱动的网络犯罪集团,他们利用商业和开源工具进行勒索软件攻击,"微软的威胁情报团队指出。

       自2021年起,该威胁行为者一直活跃在网络上,最初使用Sabbath(54bb47h)勒索软件攻击教育机构,随后演变为勒索软件即服务(RaaS)的附属机构,多年来提供了包括Hive、BlackCat(ALPHV)、Hunters International、LockBit和Embargo在内的多种勒索软件载荷。

Storm-0501 攻击流程

       Storm-0501攻击事件中,攻击者采用了多种手段来从本地组织迁移到云基础设施,其显著特点之一是利用弱凭证和特权过高的账户。

       此外,攻击者的初始访问方法还包括使用Storm-0249和Storm-0900等访问代理已建立的立足点,以及利用未修补的面向Internet的服务器中的远程代码执行漏洞,如Zoho ManageEngine、Citrix NetScaler和Adobe ColdFusion 2016。

        这些方法为攻击者提供了广泛的发现操作的机会,使他们能够确定高价值资产、收集域信息并执行Active Directory侦查。

       随后,攻击者部署了远程监控和管理工具(如AnyDesk)以保持持久性。据Microsoft表示,威胁行为者利用了在初始访问期间入侵的本地设备上的管理员权限,并试图通过多种方法访问网络内的更多帐户。

       攻击者主要利用Impacket的SecretsDump模块来提取凭据,并在大量设备上利用这些凭据。泄露的凭据随后被用于访问更多设备并提取其他凭据,同时攻击者还会访问敏感文件以提取KeePass机密,并通过暴力攻击获取特定帐户的凭据。

       Microsoft还检测到Storm-0501使用Cobalt Strike和泄露的凭据在网络中横向移动并发送后续命令。通过使用自定义Rclone二进制文件模仿Windows工具,攻击者将数据传输到MegaSync公有云存储服务,从而完成从本地环境的数据泄露。

       此外,威胁行为者还创建了对云环境的持续后门访问,并将勒索软件部署到本地,成为最新以混合云设置为目标的威胁行为者。

       攻击者使用从攻击早期窃取的凭据,特别是Microsoft Entra ID(原Azure AD),从本地横向移动到云环境,并通过后门建立对目标网络的持久访问。

       转向云的途径包括遭到入侵的Microsoft Entra Connect Sync用户帐户或通过本地用户帐户的云会话劫持,这些帐户在云中具有相应的管理员帐户,并且禁用了多重身份验证(MFA)。

       在获得对网络的充分控制权、泄露感兴趣的文件并横向移动到云后,攻击最终导致在受害组织中部署Embargo勒索软件。

       勒索软件负载是使用 Domain Admin 等受感染的帐户通过计划任务或组策略对象 (GPO) 部署的,以加密组织设备中的文件。

       Embargo是一种基于Rust的勒索软件,于2024年5月首次被发现。

       “Embargo 背后的勒索软件组织在 RaaS 模式下运作,允许 Storm-0501 等附属公司使用其平台发起攻击,以换取一部分赎金,”Microsoft 表示。

       “禁运附属公司采用双重勒索策略,他们首先加密受害者的文件,并威胁如果不支付赎金,否则会泄露被盗的敏感数据。”

        话虽如此,Windows 制造商收集的证据表明,威胁行为者并不总是求助于勒索软件分发,而是在某些情况下只选择保持对网络的后门访问。

禁运勒索软件活动

       Embargo 威胁组织使用基于 Rust 的恶意软件来运行他们的勒索软件即服务 (RaaS) 操作,该操作接受入侵公司的附属公司部署有效载荷并与开发人员分享部分利润。

       2024 年 8 月,Embargo 勒索软件附属公司袭击了美国无线电中继联盟 (ARRL),并收到了 100 万美元以换取一个可用的解密器。

        2024年 5 月,一家 Embargo 附属公司入侵了澳大利亚最大的抵押贷款和投资管理公司之一 Firstmac Limited,并在协商解决方案的截止日期前泄露了 500GB 被盗的敏感数据。

       披露之际,DragonForce 勒索软件组织一直在使用泄露的 LockBit3.0 构建器的变体和 Conti 的修改版本来瞄准制造业、房地产和运输行业的公司。

        这些攻击的特点是使用 SystemBC 后门进行持久性,使用 Mimikatz 和 Cobalt Strike 进行凭据收集,以及使用 Cobalt Strike 进行横向移动。美国占受害者总数的 50% 以上,其次是英国和澳大利亚。

       “该组织采用双重勒索策略,加密数据,并威胁除非支付赎金就泄露,”总部位于新加坡的 Group-IB 表示。“联盟计划于 2024 年 6 月 26 日启动,向联盟提供 80% 的赎金,以及用于攻击管理和自动化的工具。”

消息来源:

Embargo ransomware escalates attacks to cloud environments (bleepingcomputer.com)

Microsoft Identifies Storm-0501 as Major Threat in Hybrid Cloud Ransomware Attacks (thehackernews.com)

       以下是solar安全团队近期处理过的常见勒索病毒后缀:后缀.lol勒索病毒,后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。

       勒索攻击作为成熟的攻击手段,很多勒索家族已经形成了一套完整的商业体系,并且分支了很多团伙组织,导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同,TellYouThePass勒索软件家族常常利用系统漏洞进行攻击;Phobos勒索软件家族通过RDP暴力破解进行勒索;Mallox勒索软件家族利用数据库及暴力破解进行加密,攻击手法极多防不胜防。

       而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份,在其基础上加强公司安全人员意识。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2182868.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++发邮件:如何轻松实现邮件自动化发送?

C发邮件的详细步骤与教程指南?如何在C中发邮件? 无论是定期发送报告、通知客户还是管理内部沟通,自动化邮件系统都能显著提升工作效率。AokSend将详细介绍如何使用C发邮件,实现邮件自动化发送,帮助您轻松管理邮件通信…

10/1 力扣 49.字母异位词分组

基本知识: 关于字符串的排序: 1.多个字符串排序 1.1使用python内置的sorted() 使用该函数后原对象并不发生变化 1.2若多个字符串使用列表进行存储,使用列表的sort()方法 使用该函数后原对象原地变化 2.对单个字符串里的字母进行排序 使…

关于CSS 案例_新闻内容展示

新闻要求 标题:居中加粗发布日期: 右对齐分割线: 提示, 可以使用 hr 标签正文/段落: 左侧缩进插图: 居中显示 展示效果 审核过不了&#xff0c;内容没填大家将就着看吧。 代码 <!DOCTYPE html> <html lang"en"> <head><meta charset&qu…

【异常数据检测】孤立森林算法异常数据检测算法(数据可视化 Matlab语言)

摘要 本文研究了基于孤立森林算法的异常数据检测方法&#xff0c;并在MATLAB中实现了该算法的可视化。孤立森林是一种无监督的异常检测算法&#xff0c;主要通过构建决策树来区分正常数据和异常数据。本文使用真实数据集&#xff0c;通过二维可视化展示了检测结果。实验结果表…

肝郁气滞有什么症状

在这个快节奏、高压力的时代&#xff0c;我们的身体往往承载着超负荷的情绪与压力&#xff0c;而“肝郁气滞”这一中医术语&#xff0c;正悄然成为许多现代人健康的隐形杀手。它如同体内的“情绪交通堵塞”&#xff0c;不仅影响心情&#xff0c;更波及全身健康。今天&#xff0…

计算机毕业设计 基于Python的新闻采集与订阅平台的设计与实现 Python+Django+Vue 前后端分离 附源码 讲解 文档

&#x1f34a;作者&#xff1a;计算机编程-吉哥 &#x1f34a;简介&#xff1a;专业从事JavaWeb程序开发&#xff0c;微信小程序开发&#xff0c;定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事&#xff0c;生活就是快乐的。 &#x1f34a;心愿&#xff1a;点…

【C++】多态,虚函数,重载,重写,重定义,final,override,抽象类,虚函数表,动态绑定,静态绑定详解

目录 1. 多态的定义 1.1 多态的构成条件 1.2 虚函数 1.3 虚函数重写 1.4 重载&#xff0c;重写&#xff0c;重定义 1.5 final 1.6 override 2. 抽象类 3. 多态的原理 3.1 虚函数表 3.2 子类的虚函数表 3.3 多态本质 3.4 动态绑定和静态绑定 4. 多继承关系的虚…

php语法学习

MySQL问题 如果外部mysql与内部mysql冲突&#xff0c;php连接如果已经打开mysql说明他启动的是外部的mysql8&#xff0c;单独点击服务器启动apache就不会冲突。 打开navicat 打开浏览器测试 1.单行和多行注释 2.中文乱码问题 <?php //echo "Hello World 你好&#…

Agr_Reader 1.7.11 极简优美的RSS阅读器,无广告

Agr Reader是一款简洁、优美、符合Material You风格的RSS阅读器。它不仅提供了强大的全文解析功能&#xff0c;默认支持离线阅读&#xff0c;还具备桌面小组件、自定义样式设置等功能。此外&#xff0c;它支持接入FreshRSS、Tiny Tiny RSS等多种RSS服务&#xff0c;并提供沉浸式…

Android studio配置AVD虚拟机

目录 设置虚拟设备参数 安装HAXM 找到HAXM安装包 安装 启动虚拟设备 设置虚拟设备参数 Tools->Devices Manager->Add a new divece一个加号符号的图标->Create Virtual Device 选择尺寸参数&#xff0c;没有合适的话选择New Hardware Profile&#xff0c;调整好…

Spring1

1.Spring系统架构图 (1)核心层 Core Container:核心容器,这个模块是Spring最核心的模块,其他的都需要依赖该模块 (2)AOP层 AOP:面向切面编程,它依赖核心层容器,目的是==在不改变原有代码的前提下对其进行功能增强== Aspects:AOP是思想,Aspects是对AOP思想的具体实现 (3)数据…

深度学习项目----用LSTM模型预测股价(包含LSTM网络简介,代码数据均可下载)

前言 前几天在看论文&#xff0c;打算复现&#xff0c;论文用到了LSTM&#xff0c;故这一篇文章是小编学LSTM模型的学习笔记&#xff1b;LSTM感觉很复杂&#xff0c;但是结合代码构建神经网络&#xff0c;又感觉还行&#xff1b;本次学习的案例数据来源于GitHub&#xff0c;在…

Stm32的bootloader无法使用问题

Stm32的bootloader无法使用问题 用不了一键下载电路 首先简单地对此处涉及的内容进行介绍:如果stm32的BOOT0引脚为低电平时,系统从FLASH中启动,而如果BOOT0引脚为高电平,且BOOT1为低电平时,系统从自举程序(bootloader)中启动. 我在自制照相机设计中加入了ISP一键下载电路,如…

reverse--->恶意代码分析(第一次接触)。

学习笔记。 前言&#xff1a;第一次接触&#xff0c;朋友发给我的。 取自&#xff1a;22年信息安全管理与评估二阶段。 要求&#xff1a; 下载 查壳 32ida打开。 先上微步云沙箱看看&#xff1a; 样本报告-微步在线云沙箱 (threatbook.com)https://s.threatbook.com/repor…

【经典机器学习算法】谱聚类算法及其实现(python)

&#x1f308; 个人主页&#xff1a;十二月的猫-CSDN博客 &#x1f525; 系列专栏&#xff1a; &#x1f3c0;深度学习_十二月的猫的博客-CSDN博客 &#x1f4aa;&#x1f3fb; 十二月的寒冬阻挡不了春天的脚步&#xff0c;十二点的黑夜遮蔽不住黎明的曙光 目录 1. 前言 2. 前…

我的电池_OK2.16.0 实时监控电池状态,让你不再担心电量问题!

我的电池OK是一款专为电池管理设计的应用程序&#xff0c;能够实时查看电池电量、电压、温度等数据。软件支持预警提醒、单位切换等功能&#xff0c;帮助用户更好地管理和监控手机电池使用情况&#xff0c;提升电池寿命。 大小&#xff1a;2.9M 百度网盘&#xff1a;https://p…

当贝播放器 1.5.0 畅享原画,支持阿里网盘、杜比视界和8K播放

当贝播放器TV是一款专为智能电视设计的视频播放器&#xff0c;具有强大的解码能力&#xff0c;支持阿里网盘、百度网盘等网盘资源导入。此外&#xff0c;还支持外部设备导入&#xff0c;并能自动匹配电影海报封面、内容介绍和剧照。 大小&#xff1a;47.3M 百度网盘&#xff1…

vite 快速入门指南

相关链接 演示地址源码地址vite 官网地址 Vite 是什么 Vite 是由 Evan You&#xff08;Vue.js 创始人&#xff09;开发的现代前端构建工具&#xff0c;专为提升开发体验而设计。它通过创新的开发模式和高效的构建流程&#xff0c;极大提高了开发效率&#xff0c;尤其在处理大…

springboot实战学习(10)(ThreadLoacl优化获取用户详细信息接口)(重写拦截器afterCompletion()方法)

接着学习。之前的博客的进度&#xff1a;完成用户模块的注册接口的开发以及注册时的参数合法性校验、也基本完成用户模块的登录接口的主逻辑的基础上、JWT令牌"的组成与使用、完成了"登录认证"&#xff08;生成与验证JWT令牌&#xff09;以及完成获取用户详细信…

【源码部署】vue项目nvm安装(Windows篇)

nvm node version manager&#xff08;node版本管理工具&#xff09; 通过将多个node 版本安装在指定路径&#xff0c;然后通过 nvm 命令切换时&#xff0c;就会切换我们环境变量中 node 命令指定的实际执行的软件路径。 使用场景&#xff1a;比如我们手上同时在做好几个项目&a…