Se ha observado que el grupo de ciberdelincuentes con motivaciones financieras que Microsoft rastrea como Storm-0501 exfiltra datos e implementa el ransomware Embargo después de moverse lateralmente del entorno local al entorno en la nube. Dichos ataques también implican el robo de credenciales, la manipulación y el acceso persistente a la puerta trasera.
Storm-0501 aprovechó vulnerabilidades conocidas para obtener acceso inicial y utilizó varias herramientas de código abierto y básicas para robar credenciales y moverse lateralmente dentro de la red. El actor de amenazas aprovechó su nivel de acceso para exfiltrar datos confidenciales, evadir la detección y obtener el control del entorno en la nube. Posteriormente, el actor creó una puerta trasera al entorno de la nube para mantener el acceso persistente e implementó el ransomware Embargo en el entorno local para extorsionar a su objetivo.
En esta entrada del blog, compartimos nuestros hallazgos sobre el reciente ataque realizado por Storm-0501 y proporcionamos recomendaciones y mitigaciones para ayudar a los clientes a protegerse de esta amenaza y de ataques de ransomware similares.
Más información [EN]: https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/