Microsoft ha emesso un avviso riguardante sofisticati attacchi ransomware che prenderanno di mira gli ambienti cloud ibridi nel primo trimestre del 2025.
Questi attacchi sfruttano le vulnerabilità all'intersezione tra infrastrutture on-premise e servizi cloud, mettendo a dura prova le organizzazioni con configurazioni ibride.
In una svolta significativa, l'organizzazione statale nordcoreana Moonstone Sleet ha distribuito il ransomware Qilin in attacchi mirati.
Questa segna la loro prima operazione come affiliati al ransomware-as-a-service anziché utilizzare malware personalizzato, il che indica un'evoluzione tattica per aumentare l'efficienza mantenendo al contempo una plausibile negabilità.
I ricercatori di Microsoft Threat Intelligence hanno identificato l'autore della minaccia Storm-0501 che sfrutta capacità avanzate per lo spostamento laterale dai sistemi locali all'infrastruttura cloud.
La loro analisi ha scoperto tecniche che prendono di mira dispositivi non gestiti e sfruttano account ibridi non sicuri per accedere a risorse critiche, eliminare backup e distribuire ransomware.
Una fuga di notizie di febbraio nelle chat di gruppo del ransomware Black Basta ha svelato i loro metodi tecnici, tra cui lo sfruttamento delle vulnerabilità di Citrix, Jenkins e VPN.
Altri gruppi attivi erano Lace Tempest e Storm-1175; quest'ultimo sfruttò le nuove vulnerabilità di SimpleHelp subito dopo la divulgazione.
L'ingegneria sociale rimane prevalente, con gli autori che avviano i contatti tramite false chiamate di supporto IT prima di implementare strumenti di accesso remoto. Storm-1674 è stato osservato utilizzando false chiamate IT tramite Microsoft Teams, che hanno portato all'utilizzo di Quick Assist e PowerShell.
Tecniche di sfruttamento del cloud ibrido
La metodologia di compromissione del cloud di Storm-0501 inizia con uno spostamento laterale dai sistemi locali compromessi attraverso configurazioni di identità ibride non sicure.
Dopo aver ottenuto l'accesso iniziale, gli aggressori prendono di mira gli account con permessi eccessivi in tutti gli ambienti. Questo approccio consente loro di passare agevolmente dall'infrastruttura tradizionale alle risorse cloud.
La catena di attacco in genere include richieste HTTP specifiche che prendono di mira i file di configurazione:
Questa tecnica di attraversamento del percorso espone i token di autenticazione e le impostazioni di federazione, consentendo agli aggressori di aggirare l'autenticazione a più fattori sfruttando le relazioni di fiducia tra i sistemi di identità.
Microsoft consiglia di implementare l'igiene delle credenziali, di applicare i principi dei privilegi minimi e di adottare architetture Zero Trust per proteggere gli ambienti ibridi.
Le organizzazioni dovrebbero inoltre monitorare attentamente i modelli di autenticazione insoliti che potrebbero indicare la compromissione dei sistemi di identità ibridi.
Nessun commento:
Posta un commento