image

Microsoft meldt ransomware-aanvallen op hybride cloudomgevingen

maandag 30 september 2024, 11:10 door Redactie, 5 reacties

Een groep criminelen genaamd Storm-0501 voert ransomware-aanvallen uit tegen hybride cloudomgevingen, waarbij data en inloggegevens worden gestolen en ransomware uitgerold, zo meldt Microsoft. De groep heeft het volgens het techbedrijf tegen meerdere sectoren in de Verenigde Staten voorzien, waaronder politie, transport, overheid en productie. Voor het uitvoeren van de aanvallen maakt de groep gebruik van 'zwakke inloggegevens' en accounts met te veel rechten om van de on-premises omgeving van de organisatie naar cloudomgevingen te bewegen.

Naast zwakke credentials maakt de groep ook gebruik van bekende kwetsbaarheden in Zoho ManageEngine, Citrix NetScaler en Adobe ColdFusion om toegang tot servers te krijgen en daarvandaan verdere aanvallen uit te voeren. Zodra de groep een netwerk is binnengedrongen wordt geprobeerd om zoveel mogelijk inloggegevens te stelen, waaronder secrets van wachtwoordmanager KeePass. Ook wordt er geprobeerd om lateraal naar de cloudomgeving te bewegen.

"Bij de recente Storm0501-campagne wist de aanvaller Microsoft Entra Connect Sync servers te lokaliseren en plaintext credentials van de Microsoft Entra Connect cloud en on-premises sync-accounts te stelen", aldus Microsoft. "Na het compromitteren van het cloud Directory Synchronization Account, kan de aanvaller zich via de clear text credentials authenticeren en een access token voor Microsoft Graph krijgen."

Microsoft waarschuwt dat het compromitteren van het Microsoft Entra Connect Sync-account een groot risico voor de aangevallen organisatie vormt, aangezien het de aanvaller in staat stelt om de Microsoft Entra ID wachtwoorden van elk hybride account in te stellen of te wijzigen. Een andere methode waardoor de groep cloudomgevingen weet te compromitteren is door een on-premises account te compromitteren dat ook een account in de cloud heeft.

Nadat de aanvaller de eerdere accounts heeft gecompromitteerd maakt die gebruik van een Global Administrator-account om een nieuw federated domain aan te maken dat als backdoor dient. Zodra er voldoende controle over het netwerk is verkregen worden gevoelige bestanden gestolen en de Embargo-ransomware uitgerold. Wanneer slachtoffers het losgeld niet betalen dreigt de groep de gestolen data openbaar te maken.

Reacties (5)
30-09-2024, 11:40 door Anoniem
Het is onbegrijpelijk dat inlog credentials nog steeds door "hi-tech" bedrijven in plaintext worden opgeslagen. Ongeacht of de motivatie hiervoor gemakzucht of hoogmoed ("Ze kunnen hier toch nooit binnendringen") is. Criminele nalatigheid!
30-09-2024, 12:44 door Erik van Straten - Bijgewerkt: 30-09-2024, 12:48
Door Anoniem: Het is onbegrijpelijk dat inlog credentials nog steeds door "hi-tech" bedrijven in plaintext worden opgeslagen.
Dat lijkt hier toch iets anders te zitten, uit het door de redactie genoemde (lange) artikel (https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/):
In addition, the threat actor was observed attempting to gather secrets by reading sensitive files and in some cases gathering KeePass secrets from the compromised devices. The threat actor used EncryptedStore’s Find-KeePassConfig.ps1 PowerShell script to output the database location and keyfile/user master key information and launch the KeePass executable to gather the credentials. We assess with medium confidence that the threat actor also performed extensive brute force activity on a few occasions to gain additional credentials for specific accounts.

Aanvulling: "Keepass" wordt ook door de redactie genoemd (ook ik had daar overheen gelezen).
01-10-2024, 01:38 door Anoniem
Door Erik van Straten:
Door Anoniem: Het is onbegrijpelijk dat inlog credentials nog steeds door "hi-tech" bedrijven in plaintext worden opgeslagen.
Dat lijkt hier toch iets anders te zitten, uit het door de redactie genoemde (lange) artikel (https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/):
In addition, the threat actor was observed attempting to gather secrets by reading sensitive files and in some cases gathering KeePass secrets from the compromised devices. The threat actor used EncryptedStore’s Find-KeePassConfig.ps1 PowerShell script to output the database location and keyfile/user master key information and launch the KeePass executable to gather the credentials. We assess with medium confidence that the threat actor also performed extensive brute force activity on a few occasions to gain additional credentials for specific accounts.

Aanvulling: "Keepass" wordt ook door de redactie genoemd (ook ik had daar overheen gelezen).
Mee eens. Daarom is het handig om Keepass bestanden niet in de cloud te zetten en vanaf daar te gebruiken, het sterke punt van Keepass is juist dat mensen het offline kunnen gebruiken.
Dit geldt eveneens voor andere password managers, pas op met cloud-based services, bijvoorbeeld in het geval van Lastpass is dit al talloze keren fout gegaan.
01-10-2024, 03:39 door Anoniem
Ook bijzonder dat de patches weer ontbreken. Ach ja, sterkte dan maar.
02-10-2024, 16:45 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Aanvulling: "Keepass" wordt ook door de redactie genoemd (ook ik had daar overheen gelezen).
Mee eens. Daarom is het handig om Keepass bestanden niet in de cloud te zetten en vanaf daar te gebruiken, het sterke punt van Keepass is juist dat mensen het offline kunnen gebruiken.
Als je de database van KeePass (of van een afgeleid product) van een sterk wachtwoord voorziet, is het erg praktisch om die database in cloud-opslag te plaatsen - omdat je deze dan vanaf verschillende apparaten kunt gebruiken (beschouw dat niet als perfecte backup, maak zelf regelmatig offline backups).

Doordat KeePass "lokaal draait" wordt de database niet ontgrendeld op de cloudserver, maar op het apparaat waar KeePass (of apps zoals KeePassium voor iOS en KeePassDX onder Android).

De database voor KeePassDX staat in "mijn" Google drive, en van KeePassium in "mijn" iCloud. Dat is beslist niet zonder risico's, maar m.i. een redelijk compromis tussen gebruiksgemak en beveiliging - temeer daar ik KeePassium en KeePassDX (samen met resp. iOS en Android) zo heb geconfigureerd dat deze domeinnamen herkennen (middels "Autofill").

Door Anoniem: Dit geldt eveneens voor andere password managers, pas op met cloud-based services, bijvoorbeeld in het geval van Lastpass is dit al talloze keren fout gegaan.
Cloud-based services zijn veel minder betrouwbaar dan sterk versleutelde bestanden die in cloud-based opslag worden bewaard.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.