Choque do sistema: ransomware Storm-0501 desloca-se para a cloud

A boa notícia? No geral, as taxas de ransomware estão em queda. Em 2025, pouco mais de 60% das empresas relataram ataques de ransomware, o número mais baixo desde 2020.

A notícia não tão boa? Os atacantes estão a mudar de tática. Conforme observado por uma recente análise de Segurança da Microsoft, o ator de ameaça Storm-0501 deslocou agora o ransomware para fora das instalações, colocando em risco tanto ambientes híbridos como de cloud. Eis o que precisa saber.

Como: fundamentos do ataque Storm-0501

As implementações tradicionais de ransomware acontecem no local. Os atacantes comprometem redes locais e implementam cargas úteis maliciosas. Uma vez executadas, essas cargas úteis encriptam ficheiros chave, e os hackers exigem um resgate pela chave de desencriptação.

Até recentemente, a Storm-0501 seguia este roteiro de carga útil, mas em 2024 o ator da ameaça implantou uma nova estirpe de malware capaz de comprometer ambientes de cloud. O ataque começa com um ponto de apoio. Os ciberatacantes comprometem ambientes de Active Directory e depois movem-se para o Microsoft Entra ID. Em seguida, escalam privilégios para obter controlo ao nível de administrador.

Isso permite-lhes adicionar domínios federados que permitem acesso irrestrito à rede, e também possibilita a implementação de ransomware on-premises. O resultado é um golpe duplo. Utilizando ransomware tradicional, os atores da ameaça podem encriptar dados no local e exigir pagamento para a sua libertação. Aproveitando o acesso completo à nuvem, por outro lado, podem exfiltrar ativos armazenados, eliminar backups e manter dados como reféns.

O quê: Condições comuns para comprometimento

A chave para o sucesso do Storm-0501 reside na sua abordagem dupla de comprometimento, que permite ao atacante explorar o espaço entre implementações on-premises e baseadas em nuvem.

Simplificando, os ambientes híbridos são mais complexos do que os seus homólogos puramente locais. Para que as empresas tirem o máximo partido dos recursos locais e de cloud, precisam de pontes digitais que liguem recursos, serviços e aplicações díspares. É esta área cinzenta digital que cria potenciais problemas.

Considere a análise da Microsoft de um ataque usando Storm-0501. A empresa alvo operava múltiplas subsidiárias, cada uma com o seu próprio conjunto de inquilinos Azure na nuvem distintos mas interligados. Cada um destes inquilinos tinha uma postura de segurança diferente, e apenas um usava o Microsoft Defender para Endpoint. Além disso, a pesquisa da Microsoft descobriu que múltiplos domínios do Active Directory estavam sincronizados com mais de um inquilino, tornando mais difícil para as equipas de TI gerir e monitorizar estas instâncias na nuvem.

O ataque começou com múltiplas compromissos de sistemas on-premises. Os atores da ameaça usaram então comandos como "sc query sense" e "sc query windefend" para verificar se o Defender para Endpoint estava ativo. Caso estivesse, utilizaram uma ferramenta PowerShell sobre Windows Remote Management (WinRM) conhecida como Evil-WinRM para mover-se lateralmente. Uma vez que identificaram sistemas sem defesa ativa, implantaram um ataque DCSync para simular um controlador de domínio e solicitar hashes de senha para todos os utilizadores ativos. Isso permitiu acesso quase completo aos locatários na cloud e a todos os dados que armazenavam, permitindo assim exfiltração e encriptação.

Com este processo concluído, os atacantes usaram uma conta Teams pertencente a uma das identidades comprometidas da empresa para contactar executivos e exigir um resgate.

Onde: Áreas para proteção melhorada

De acordo com Sherrod DeGrippo, diretora de inteligência de ameaças da Microsoft, Storm-0501 representa um risco significativo . "Este ator de ameaça tem uma rápida adaptação e um alvo independente do setor", diz ela. "Storm-0501 demonstrou a capacidade de rapidamente alterar táticas e visar uma ampla gama de setores, o que significa que qualquer organização que utilize serviços na nuvem pode ser um alvo."

Para as empresas, a mudança para comprometer a nuvem destaca a necessidade de proteção aprimorada em três áreas-chave:

Deteção

Quanto mais cedo as empresas conseguirem detetar um potencial comprometimento, melhor preparadas estarão para eliminar problemas e remediar impactos. Na prática, isto requer soluções como detecção e resposta de endpoint (EDR) que vão além dos frameworks de antivírus padrão para bloquear ameaças com base em regras comportamentais personalizadas ou condições operacionais. 

Acesso

Independentemente do tipo ou alvo do ransomware, as empresas beneficiam sempre do princípio do menor privilégio. Quanto menos pessoas tiverem acesso a funções administrativas, melhor.

Isto começa com soluções como a autenticação multifator (MFA). Ao garantir que os utilizadores devem fornecer algo que possuem ou algo que são, além de algo que sabem, as empresas podem reduzir o risco de comprometimento. Em seguida, temos as políticas de acesso condicional. Em vez de adotar uma abordagem única, as políticas de acesso condicional avaliam vários fatores cada vez que os utilizadores tentam iniciar sessão. Por exemplo, se um utilizador tentar iniciar sessão fora do seu horário normal de acesso e a partir de uma nova localização, o acesso condicional pode solicitar verificação adicional.

E estes benefícios não são apenas teóricos — de acordo com a análise da Microsoft, a primeira tentativa dos atacantes de iniciar sessão como utilizadores privilegiados em inquilinos híbridos comprometidos foi malsucedida devido à MFA e ao acesso condicional, obrigando-os a mudar de domínios e tentar novamente.

Armazenamento

Os esforços bem-sucedidos de ransomware dependem de comprometer o armazenamento através de encriptação, exfiltração ou eliminação. Como resultado, processos de armazenamento de dados aprimorados podem ajudar a frustrar os esforços dos atacantes. Um exemplo é o armazenamento imutável, tanto para dados armazenados na cloud como para backups de dados. O conceito por trás do armazenamento imutável é simples: ele não pode ser alterado. As empresas definem as suas políticas preferidas, como escrever uma vez, ler muitas (WORM), e podem descansar mais tranquilamente sabendo que os dados não são alteráveis. Este tipo de armazenamento é especialmente útil para backups. Mesmo que os atacantes consigam comprometer e eliminar ativos chave, as empresas podem recuperar e repovoar dados não corrompidos uma vez que as ameaças sejam confinadas e eliminadas.

Enfrentando a tempestade

À medida que a segurança no local melhora, os atacantes procuram nas clouds híbridas novos caminhos de comprometimento. Para muitas empresas, a natureza multi-domínio e multi-inquilino dos seus ambientes de cloud torna-as suscetíveis a estes ataques, especialmente se as práticas de segurança não forem consistentes nas redes das subsidiárias.

Navegar com sucesso na tempestade significa adotar uma abordagem de proteção de três frentes que prioriza a deteção, limita o acesso e fornece um caminho para a restauração completa dos dados.