Microsoft ha emitido una advertencia sobre sofisticados ataques de ransomware dirigidos a infraestructuras de nube híbrida durante el primer trimestre de 2025.
Estos ataques aprovechan las vulnerabilidades existentes en la conexión entre la infraestructura local y los servicios en la nube, lo que representa un desafío para las organizaciones con configuraciones híbridas.
Un cambio notable es que el actor estatal norcoreano conocido como Moonstone Sleet ha comenzado a utilizar el ransomware Qilin en sus ataques selectivos.
Esta es la primera vez que se observa a este grupo operando como afiliado de ransomware como servicio, en lugar de emplear malware desarrollado internamente. Este cambio táctico sugiere una estrategia para aumentar la eficiencia manteniendo la posibilidad de negación plausible.
Los investigadores de Microsoft Threat Intelligence han identificado al actor de amenazas Storm-0501, el cual está utilizando capacidades mejoradas para moverse lateralmente desde sistemas locales hacia la infraestructura de la nube.
Su análisis descubrió técnicas dirigidas a dispositivos no administrados y explotando cuentas híbridas inseguras para acceder a recursos críticos, eliminar copias de seguridad e implementar ransomware.
Una filtración en febrero de los chats grupales del ransomware Black Basta expuso sus métodos técnicos, incluida la explotación de vulnerabilidades de Citrix, Jenkins y VPN.
Otros grupos activos incluyeron Lace Tempest y Storm-1175, y este último explotó nuevas vulnerabilidades de SimpleHelp poco después de su divulgación.
La ingeniería social sigue prevaleciendo, y los actores inician el contacto a través de llamadas falsas de soporte de TI antes de implementar herramientas de acceso remoto. Se observó que Storm-1674 utilizaba llamadas de TI falsas a través de Microsoft Teams, lo que llevó al uso de Quick Assist y PowerShell.
La metodología de compromiso de la nube de Storm-0501 comienza con el movimiento lateral desde los sistemas locales comprometidos a través de configuraciones de identidad híbridas inseguras.
Después de obtener acceso inicial, los atacantes atacan cuentas con permisos excesivos en todos los entornos. Este enfoque les permite pivotar sin problemas entre la infraestructura tradicional y los recursos de la nube.
La cadena de ataque normalmente incluye solicitudes HTTP específicas dirigidas a archivos de configuración:
GET /toolbox-resource/../serverconfig.xml
Esta técnica de recorrido de ruta expone tokens de autenticación y configuraciones de federación, lo que permite a los atacantes eludir la autenticación multifactor explotando las relaciones de confianza entre los sistemas de identidad.
Microsoft recomienda implementar higiene de credenciales, aplicar principios de privilegios mínimos y adoptar arquitecturas Zero Trust para proteger los entornos híbridos.
Las organizaciones también deben monitorear de cerca patrones de autenticación inusuales que puedan indicar un compromiso de los sistemas de identidad híbridos.
