微软近日发布安全警告,称持续活跃的黑客组织Storm-0501正改变其攻击手法,逐步摆脱传统的本地勒索模式,转而专注于云环境中的加密、数据窃取与勒索攻击。该团伙如今利用云平台的原生功能,快速窃取大量数据、销毁备份及存储账户,以压迫受害者支付赎金,无需传统恶意软件即可得手。
自2021年以来,Storm-0501频繁利用Sabbath、Hive、BlackCat和LockBit等勒索软件,针对全球范围内的高价值目标。去年,微软曾披露,该团伙扩展至混合云环境,逐步渗透从本地Active Directory到Entra ID租户环境,甚至通过恶意联合域实现持久化控制。
根据最新报告,攻击者近期通过盗取目录同步账户,扫描并锁定缺乏多因素认证的全局管理员,再重置其密码获取管理员权限。随后,黑客可添加恶意联合域,模拟几乎任意用户身份,绕过安全防护,进而大规模删除、加密云端数据。微软呼吁企业加强云环境安全配置,及时修补防护短板,以抵御日益猖獗的勒索攻击。