Negli ultimi anni, il panorama delle minacce informatiche si è evoluto rapidamente, soprattutto in ambito cloud. Un esempio significativo è rappresentato dal gruppo di cybercriminali noto come Storm-0501, che ha affinato le proprie tecniche per colpire ambienti cloud ibridi con attacchi di esfiltrazione e distruzione dei dati. Mentre il ransomware tradizionale si basava su malware che cifrava file all’interno delle reti compromesse, la nuova ondata di ransomware cloud sfrutta capacità native delle piattaforme come Azure per rubare grandi volumi di dati, eliminarli, cancellare i backup e poi richiedere un riscatto, spesso senza necessità di distribuire malware convenzionali.

Storm-0501 è attivo dal 2021 e si è imposto come affiliato di vari servizi ransomware-as-a-service, veicolando payload come Hive, BlackCat, LockBit e altri. Le sue vittime spaziano da enti governativi a settori come manifatturiero, trasporti, sanità ed educazione, dimostrando un atteggiamento opportunistico e non settoriale. Questo gruppo si distingue per la capacità di muoversi agilmente tra infrastrutture on-premise e cloud, sfruttando falle nella gestione dei dispositivi e nella sicurezza delle configurazioni ibride, talvolta riuscendo a spostarsi anche tra tenant diversi in scenari multi-tenant.

L’attacco tipico di Storm-0501

L’attacco tipico di Storm-0501 inizia con l’acquisizione di accesso tramite broker, sfruttando credenziali rubate o vulnerabilità note di tipo remote code execution su server esposti, come Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion. Una volta ottenuto un primo accesso, il gruppo esegue escalation dei privilegi, si muove lateralmente nella rete interna e avvia attività di ricognizione, spesso anche tramite attacchi DCSync per estrarre credenziali da Active Directory simulando il comportamento di un domain controller.

Compromissione di Entra ID e dominio federato

Successivamente, Storm-0501 compromette account amministrativi globali in Microsoft Entra ID (ex Azure AD), soprattutto se privi di autenticazione a più fattori. Tramite la sincronizzazione delle password tra ambiente on-premise e cloud, il gruppo ottiene il controllo degli account privilegiati. Una tecnica riscontrata prevede la registrazione di un tenant Entra ID controllato dagli attaccanti come dominio federato di fiducia, aprendo una backdoor per accedere a risorse Azure critiche.

Esfiltrazione e distruzione dei dati

Dopo aver esfiltrato i dati, Storm-0501 procede con la cancellazione massiva delle risorse Azure, impedendo alle vittime di recuperare le informazioni e aumentando la pressione per il pagamento del riscatto, spesso attraverso canali come Microsoft Teams utilizzando account già compromessi. Per contrastare queste tecniche, Microsoft ha rafforzato i controlli su Entra ID e raccomanda l’uso di autenticazione moderna e Trusted Platform Module per la protezione delle credenziali.