Een groep criminelen genaamd Storm-0501 voert ransomware-aanvallen uit tegen hybride cloudomgevingen, waarbij data en inloggegevens worden gestolen en ransomware uitgerold, zo meldt Microsoft. De groep heeft het volgens het techbedrijf tegen meerdere sectoren in de Verenigde Staten voorzien, waaronder politie, transport, overheid en productie. Voor het uitvoeren van de aanvallen maakt de groep gebruik van 'zwakke inloggegevens' en accounts met te veel rechten om van de on-premises omgeving van de organisatie naar cloudomgevingen te bewegen.

Naast zwakke credentials maakt de groep ook gebruik van bekende kwetsbaarheden in Zoho ManageEngine, Citrix NetScaler en Adobe ColdFusion om toegang tot servers te krijgen en daarvandaan verdere aanvallen uit te voeren. Zodra de groep een netwerk is binnengedrongen wordt geprobeerd om zoveel mogelijk inloggegevens te stelen, waaronder secrets van wachtwoordmanager KeePass. Ook wordt er geprobeerd om lateraal naar de cloudomgeving te bewegen.

"Bij de recente Storm0501-campagne wist de aanvaller Microsoft Entra Connect Sync servers te lokaliseren en plaintext credentials van de Microsoft Entra Connect cloud en on-premises sync-accounts te stelen", aldus Microsoft. "Na het compromitteren van het cloud Directory Synchronization Account, kan de aanvaller zich via de clear text credentials authenticeren en een access token voor Microsoft Graph krijgen."

Microsoft waarschuwt dat het compromitteren van het Microsoft Entra Connect Sync-account een groot risico voor de aangevallen organisatie vormt, aangezien het de aanvaller in staat stelt om de Microsoft Entra ID wachtwoorden van elk hybride account in te stellen of te wijzigen. Een andere methode waardoor de groep cloudomgevingen weet te compromitteren is door een on-premises account te compromitteren dat ook een account in de cloud heeft.

Nadat de aanvaller de eerdere accounts heeft gecompromitteerd maakt die gebruik van een Global Administrator-account om een nieuw federated domain aan te maken dat als backdoor dient. Zodra er voldoende controle over het netwerk is verkregen worden gevoelige bestanden gestolen en de Embargo-ransomware uitgerold. Wanneer slachtoffers het losgeld niet betalen dreigt de groep de gestolen data openbaar te maken.