Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft décrit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrées sur le cloud, ciblant des environnements hybrides pour escalader des privilèges dans Microsoft Entra ID et prendre le contrôle d’Azure afin d’exfiltrer et détruire des données, puis extorquer les victimes.
☁️ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises à un modèle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacités natives du cloud pour l’exfiltration rapide, la destruction de données et sauvegardes, puis la demande de rançon, sans dépendre d’un malware déployé sur endpoints. Historiquement lié à des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santé en 2023, Embargo en 2024), le groupe démontre une forte agilité dans les environnements hybrides.
🔓 Chaîne d’attaque hybride (on-prem → cloud): Dans une entreprise multi-domaines AD et multi-tenants Azure, la couverture Defender hétérogène crée des angles morts. Post-compromission AD, l’acteur évite les hôtes monitorés (sc query sense/windefend), se déplace latéralement via Evil-WinRM, exécute un DCSync pour extraire des hachages, et pivote via des serveurs Entra Connect Sync non protégés. Côté cloud, reconnaissance avec AzureHound à partir du compte Directory Synchronization Account (DSA). Les tentatives initiales d’accès privilégié échouent (CA/MFA), puis Storm-0501 identifie une identité non-humaine Global Administrator sans MFA, réinitialise son mot de passe on-prem (PHS), s’authentifie, enregistre un MFA sous contrôle, et satisfait une CAP exigeant un device hybrid-joined pour accéder au portail Azure. L’acteur établit ensuite une persistance via un domaine fédéré malveillant (AADInternals) permettant l’usurpation SAML.
🧰 Prise de contrôle Azure et impact: Avec Global Administrator, l’acteur élève l’accès aux ressources Azure (Microsoft.Authorization/elevateAccess/action) puis s’attribue le rôle Owner sur les abonnements (roleAssignments/write). Découverte étendue (dont AzureHound) pour cartographier Azure Storage, politiques, verrous et immutabilité. Pour l’évasion et l’exfiltration, Storm-0501 rend publics des comptes Azure Storage (Microsoft.Storage/storageAccounts/write), récupère les keys (listkeys/action) et exfiltre via AzCopy. L’impact inclut la suppression en masse de snapshots, restore points, comptes de stockage et containers de sauvegarde (opérations delete sur Compute/Storage/RecoveryServices), précédée de la suppression des locks (Microsoft.Authorization/locks/delete) et politiques d’immuabilité. Quand l’immuabilité empêche la suppression, l’acteur applique une chiffrement cloud via Key Vault et Encryption Scopes; la tentative d’inaccessibilité totale est limitée par le soft-delete par défaut d’Azure Key Vault. L’extorsion est menée via Microsoft Teams en usurpant un compte compromis.
📈 Détections et recommandations (extraits): Microsoft met en avant des couvertures dans Defender XDR, Defender for Endpoint/Identity/Cloud/Storage/Resource Manager, avec des détections sur connexions suspectes, élévations d’accès, manipulations Storage, DCSync, AADInternals, AzureHound, AzCopy, etc. Le billet liste des mesures de réduction de risque, notamment: durcissement des comptes synchronisation Entra (DSA) et adoption d’authentification moderne; MFA obligatoire et enregistrée pour tous, séparation des comptes Global Administrator (cloud-natifs), Conditional Access (devices conformes/IPs de confiance/force d’authentification), protections Azure Storage (immutabilité, locks, private endpoints, pas d’accès anonyme), Key Vault avec purge protection et logs, Defender for Cloud et Azure Monitor pour la détection, et l’usage de Security Exposure Management pour cartographier actifs critiques et chemins d’attaque. Cet article est une analyse de menace détaillant TTPs, impacts et guidances de détection/mitigation.
TTPs clés observés:
- Outils: Evil-WinRM, AzureHound, AADInternals, AzCopy, Impacket
- Techniques: DCSync; abus Entra Connect Sync DSA; réinitialisation PHS d’un compte Global Admin sans MFA; enregistrement MFA; backdoor par domaine fédéré malveillant et usurpation SAML; elevateAccess et Owner role assignment; exfiltration via Storage public access et listkeys; suppression de locks et immutability policies; chiffrement via Key Vault + Encryption Scopes; extorsion via Teams
- Opérations Azure notables: Microsoft.Authorization/elevateAccess/action, Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/write|listkeys/action|delete|…/immutabilityPolicies/delete|…/encryptionScopes/write, Microsoft.Compute/snapshots/delete, Microsoft.Compute/restorePointCollections/delete, Microsoft.RecoveryServices/…/protectionContainers/delete, Microsoft.KeyVault/vaults/write
IOCs: Aucun IOC spécifique (IP, domaines, hachages) n’est fourni dans l’article.
🧠 TTPs et IOCs détectés
TTP
Outils: Evil-WinRM, AzureHound, AADInternals, AzCopy, Impacket; Techniques: DCSync; abus Entra Connect Sync DSA; réinitialisation PHS d’un compte Global Admin sans MFA; enregistrement MFA; backdoor par domaine fédéré malveillant et usurpation SAML; elevateAccess et Owner role assignment; exfiltration via Storage public access et listkeys; suppression de locks et immutability policies; chiffrement via Key Vault + Encryption Scopes; extorsion via Teams; Opérations Azure notables: Microsoft.Authorization/elevateAccess/action, Microsoft.Authorization/roleAssignments/write, Microsoft.Authorization/locks/delete, Microsoft.Storage/storageAccounts/write|listkeys/action|delete|…/immutabilityPolicies/delete|…/encryptionScopes/write, Microsoft.Compute/snapshots/delete, Microsoft.Compute/restorePointCollections/delete, Microsoft.RecoveryServices/…/protectionContainers/delete, Microsoft.KeyVault/vaults/write
IOC
Aucun IOC spécifique (IP, domaines, hachages) n’est fourni dans l’article.
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/08/27/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware/