- Microsoft advirtió sobre Storm -0501, un grupo de rescate que se dirige a la mayoría de las plataformas en la nube
- Este enfoque les permite ser más rápidos y más eficientes.
- Hay formas de proteger contra esta amenaza, así que tenga cuidado
Microsoft advierte a los usuarios sobre un operador de ropa de resumen que está más interesada en comprometer la infraestructura en la nube que los dispositivos en el precio porque es más rápido, más eficiente y más perjudicial.
En un nuevo informe, la compañía destaca la tormenta -0501, un grupo de inspiración financiera que originalmente observó el entorno de la nube híbrida. El grupo primero comprometerá los dominios del directorio activo en el precio a través de la relación de confianza de dominio, y luego los inquilinos Pivot y Microsoft Entra ID utilizarán los servidores de sincronización Ennra Connect.
A partir de ahí, el grupo explotará una sincronización hecha por el hombre con los derechos de administración globales y no establecerá una autenticación multifactor (MFA), para lograr el acceso completo en la nube, utilizando así sus dominios federados contaminados, y el token SAML para abolir el token SAML.
Clima de tormenta
De esta manera, una participación preocupante de los eventos comprometidos de Azur, ya que los delincuentes pueden alcanzar el papel del propietario a lo largo de la suscripción, el mapa de los recursos críticos utilizando el Azurhound, los datos de escape a través de AJKPI CLI, el uso de operaciones de Azure y el almacenamiento del almacenamiento e incluso en algunos casos.
Atacar las nubes en lugar de la infraestructura en el primer precio permite la explinación rápida de datos, así como la destrucción de las copias de seguridad. Al agregar humillación a la lesión, también les permitió llegar a sus víctimas a través de las fiestas de Microsoft y exigir rescate.
Microsoft escribe: “Ganar poderes locales en la nube, Storm-0501 explica rápidamente una gran cantidad de datos, destruye datos y copias de seguridad en el entorno de sufrimiento y exige un rescate, de los cuales depende de la transferencia del malware tedioso tradicional”, escribió Microsoft.
Para aliviar la amenaza, los comerciantes, antes de hacer cualquier otra cosa, se debe solicitar MFA para todos los usuarios, especialmente para los beneficios de las instalaciones. Luego, los permisos de su cuenta de sincronización de directorio deben estar limitados, el TPM debe usarse en los servidores de sincronización Entra Connect y se deben aplicar el bloqueo de recursos y los principios irreversibles.
Finalmente, Microsoft sugirió habilitar a los defensores y defensores para la nube en todo el inquilino y, naturalmente, las actividades de Azure observadas con registros y preguntas de víctimas avanzadas.
