Storm-0501: ciberdelincuentes atacan agencias gubernamentales y hospitales en Estados Unidos

La empresa Microsoft ha identificado una nueva unidad de hackers, rastreada bajo el identificador Storm-0501. Anteriormente, este grupo colaboró con bandas de ransomware tan conocidas como Hive, BlackCat (ALPHV), Hunters International, LockBit y Embargo. Ahora, Storm-0501 ha pasado a actuar de forma independiente, centrándose en entornos de nube híbrida y utilizando herramientas de código abierto para sus ataques. El objetivo principal de estos ciberdelincuentes es obtener beneficios financieros.

Recientemente, el grupo Storm-0501 llevó a cabo ataques en múltiples fases en Estados Unidos, hackeando entornos de nube híbrida y propagándose desde dispositivos locales hasta la nube. Estos ataques dieron lugar al robo de credenciales, sustracción de información confidencial, manipulación de sistemas, creación de puertas traseras y despliegue de programas de ransomware. Las víctimas de este grupo incluyen organismos gubernamentales, empresas manufactureras, servicios de transporte, fuerzas de seguridad e incluso hospitales.

Se sabe que Storm-0501 ha estado activa al menos desde 2021. En sus ataques, el grupo ha utilizado varios tipos de ransomware, desarrollados y mantenidos por otros colectivos. Para obtener acceso inicial, los delincuentes suelen utilizar credenciales robadas y vulnerabilidades conocidas para encontrar cuentas con privilegios elevados. Posteriormente, aprovechando estos privilegios, los hackers se desplazan hacia la nube, explotando vulnerabilidades en las interfaces entre los diferentes entornos.

Un informe reciente de Microsoft Threat Intelligence destaca que, con el aumento del uso de entornos de nube híbrida, la seguridad de los recursos en múltiples plataformas se convierte en un desafío cada vez más complejo. Así, en uno de los ataques recientes, los hackers de Storm-0501 explotaron vulnerabilidades conocidas en Zoho ManageEngine, Citrix NetScaler y ColdFusion 2016. La seguridad de las operaciones de las organizaciones afectadas resultó ser insuficiente.

Durante el ataque, Storm-0501 utiliza herramientas y comandos estándar de Windows, como «systeminfo.exe», «net.exe», «nltest.exe» y «tasklist.exe», así como herramientas de código abierto para tareas de reconocimiento y control remoto, como AnyDesk. Una vez que obtienen privilegios de administrador, el grupo roba credenciales para expandirse dentro de la red y alcanzar el controlador de dominio con el fin de desplegar programas de ransomware.

Cuando Storm-0501 toma el control de la red y se mueve hacia el entorno de nube, los hackers despliegan un nuevo software de ransomware llamado Embargo, desarrollado en Rust y que utiliza métodos de cifrado avanzados. Sin embargo, no siempre los atacantes emplean software de ransomware; en algunos casos, solo mantienen acceso a la red.

Microsoft está trabajando intensamente para proteger el servicio Microsoft Entra ID (anteriormente Azure AD), que los atacantes utilizaron para robar credenciales. El gigante tecnológico recomienda a las organizaciones utilizar mecanismos de autenticación robustos, restringir el acceso a las cuentas de sincronización y emplear soluciones EDR para mejorar la seguridad.