Microsoft meldt ransomware-aanvallen op Azure-cloudomgevingen

In dit artikel:

Microsoft waarschuwt dat een criminele groep die eerder on-premises ransomware inzet, nu cloudomgevingen aanvalt. In een diepgaande analyse noemt het bedrijf de aanvallers “Storm-0501” en beschrijft hoe zij vanuit een gecompromitteerde on-premises omgeving toegang kregen tot de Azure-omgeving van een slachtoffer. De aanvallers plaatsten een backdoor door een federated domain toe te voegen, wat hen in staat stelde zich voor te doen als vrijwel elke gebruiker.

Eenmaal in Azure brachten ze kritieke dataopslagplaatsen en back-uplocaties (zowel on-premises als cloud endpoints) in kaart, stalden gevoelige gegevens en verwijderden daarna Azure-resources met bedrijfsdata. Toen sommige resources niet te verwijderen waren, probeerden ze bestanden ontoegankelijk te maken via Azure-encryptie door de encryptiesleutel te verwijderen. Dankzij een soft-delete van 90 dagen kon het getroffen bedrijf die sleutel echter herstellen, waardoor dat encryptiepoging mislukte.

Na diefstal en vernietiging benaderden de gijzelnemers het bedrijf via Microsoft Teams om losgeld te eisen; Microsoft meldt niet of dat is betaald. Het bedrijf geeft ook aanbevelingen om cloudidentiteiten, sleutelbeheer en resources beter te beschermen — wat aansluit bij de bredere trend dat ransomwaregroepen steeds vaker cloudinfrastructuur als doelwit kiezen.