מיקרוסופט מזהירה: אחת מקבוצות הכופרה המוכרות ביותר עברה לפעול בענן

תמונה: dreamstime

אם עד עכשיו חששתם מהרגע שבו מישהו ינעל לכם את השרתים, כדאי שתתחילו לחשוש דווקא מתקיפה על הענן שלכם. צוות מודיעין האיומים של מיקרוסופט, בהובלת צוות חוקרים ממרכז המחקר והפיתוח של החברה בישראל, פרסם דוח חדש שמצייר תמונה מטרידה: קבוצת התקיפה Storm‑0501, שהייתה מזוהה עם שימוש בנוזקות הכופרה Sabbath, Hive ו‑LockBit, עברה למגרש חדש.

במקום להצפין קבצים על שרתים פיזיים, היא חודרת ישירות אל סביבת Azure של הארגון, משיגה שליטה מלאה ומשתמשת ביכולות הלגיטימיות של הענן עצמו כדי לשאוב מידע רגיש, למחוק גיבויים ולהצפין נתונים, הכול בלי לכתוב שורת קוד זדוני אחת.

מה שמפחיד כאן הוא השקט שנשאר אחרי הפריצה. בעבר אפשר היה לזהות מתקפות כופרה באמצעות קובץ חשוד, התראה מ‑EDR או פעילות חריגה ברשת. הפעם הכול מתבצע בתוך הכלים הלגיטימיים של Azure. אין חתימות, אין קבצים זדוניים, אין תעבורה חריגה. Storm‑0501 פשוט נכנסת מדלת הראשית וגם יוצאת ממנה כשמתחשק לה.

מי את Storm-0501?

הקבוצה זוהתה לראשונה בשנת 2021, אז השתמשה בנוזקת  Sabbath נגד ארגונים ברחבי העולם. בהמשך הצטרפו התוקפים לפלטפורמות RaaS (Ransomware-as-a-Service) והפעילו מגוון כלי הצפנה מוכרים, כולל Hive, ‏BlackCat (ALPHV), ‏Hunters International, ‏LockBit, ולאחרונה גם Embargo.

לפני כשנה חשפה מיקרוסופט שהקבוצה החלה להרחיב את פעילותה אל סביבות ענן היברידיות, ועברה מהשתלטות על Active Directory מקומי לפגיעה ב-Entra ID. במקרים מסוימים התוקפים יצרו דומיינים מזויפים שהשתלבו במבנה הארגוני, ובאחרים הצפינו מכונות מקומיות באמצעות Embargo. כעת, לפי הדוח Storm-0501 מבצעת את כל התקיפות שלה ישירות בענן.

הדלת האחורית של Entra ID

לפי מיקרוסופט, הכול מתחיל בפריצה לחשבונות Entra ID (לשעבר Azure Active Directory) באמצעות פערים בהגנות של סביבות הענן. משם הם משיגים גישה לחשבונות מנהל, לעיתים בלי MFA, ומקבלים שליטה מלאה. כדי להבטיח שהאחיזה שלהם לא תיחלש, הם מוסיפים דומיינים מזויפים שמאפשרים להם להתחזות לכל משתמש ולעקוף מנגנוני אבטחה קיימים. ברגע שיש להם גישה ברמת בעלים לכל משאבי Azure, הם מתחילים להזיז דברים במערכת: הם יוצרים Key Vaults חדשים, מצפינים את הנתונים של הארגון עם מפתחות שבשליטתם בלבד, מוחקים Snapshots, נקודות שחזור וגיבויים, ומשאירים את הקורבנות בלי שום דרך לשחזר מידע בלי לשלם.

וזה לא נגמר שם. אחרי ש‑Storm‑0501 לוקחת את כל מה שאפשר, מוחקת את כל מה שצריך ומצפינה את מה שנשאר, הם שולחים את דרישת הכופר לא במייל, לא בטלגרם, אלא ישירות דרך Microsoft Teams. הקורבן מקבל הודעה פנימית מהחשבון של עצמו, וזה כבר הרגע שבו כל מערך ההגנה נראה מיותר לגמרי.

המשמעות היא שכללי המשחק השתנו. אם עד עכשיו אפשר היה להסתמך על EDR, חתימות, חומות אש או אנטי וירוס כדי לעצור מתקפות כופרה, במודל החדש אין יותר "קובץ זדוני" שאפשר לזהות. הכול מתבצע בכלים הלגיטימיים של הסביבה עצמה. מיקרוסופט ממליצה לעבור לחשיבה אחרת לחלוטין: להפעיל MFA לכל החשבונות בלי יוצא מן הכלל, להקשיח הרשאות ברמת אפליקציות, להגביל גישה לפי כתובות IP, ולעקוב בזמן אמת אחרי פעולות חריגות כמו יצירת Key Vaults או מחיקת Snapshots.

הכופרות עברו לענן. אם ההגנה שלכם נשארה על הקרקע, יש סיכוי טוב שתגלו את זה מאוחר מדי.