Microsoft meldt ransomware-aanvallen op Azure-cloudomgevingen

[Captain Kirk]

Een groep criminelen die eerder ransomware-aanvallen op on-premises omgevingen uitvoerde heeft het nu voorzien op cloudomgevingen, waarbij alle data van de getroffen organisatie eerst wordt gestolen en daarna verwijderd, zo laat Microsoft weten. Vervolgens moeten slachtoffers losgeld betalen om hun data terug te krijgen.

In een uitgebreide analyse van de aanval, uitgevoerd door een groep criminelen die Microsoft Storm-0501 noemt, beschrijft het techbedrijf hoe de aanvallers via de on-premises omgeving toegang tot de cloudomgeving weten te krijgen. Daar wordt onder andere een backdoor toegevoegd in de vorm van een federated domain, waardoor de aanvallers als bijna elke gebruiker kunnen inloggen.

Nadat de aanvallers de controle over de Azure-cloudomgeving van het bedrijf hebben brengen ze de belangrijke data stores met gevoelige gegevens in kaart, alsmede de locaties met back-ups van on-premises en cloud endpoint devices. Vervolgens worden de gevoelige gegevens gestolen, waarna de aanvallers de Azure resources met de data van het bedrijf verwijderen.

Voor een aantal resources bleek het niet mogelijk om die te verwijderen, waarna de aanvallers probeerden om die via de encryptiefeature van Azure te versleutelen. Vervolgens verwijderden de aanvallers de key, maar Microsoft merkt op dat hiervoor een soft-delete van 90 dagen geldt, waardoor het bedrijf de key alsnog kon achterhalen en het versleutelen van de cloudbestanden voor losgeld mislukte.

Na het stelen en verwijderen van de gegevens binnen de Azure-omgeving werd het niet nader genoemde bedrijf via Microsoft Teams door de aanvallers benaderd, die vervolgens losgeld eisten. Of er ook losgeld is betaald laat Microsoft niet weten. In de analyse doet het techbedrijf ook verschillende aanbevelingen voor het beveiligen van cloud-identiteiten en resources.

 

bron: https://www.security.nl