Ваши данные в облаке? Их уже украли. И хакеры даже не использовали вирусы

Согласно отчету Microsoft Threat Intelligence, группа Storm-0501 сместила акцент своих атак с привычных вымогательских схем в локальных сетях на тактику, завязанную на облачных сервисах. Если раньше злоумышленники устанавливали программы-шифровальщики на компьютеры и серверы жертвы, то теперь они обходятся без внедрения классического вредоносного кода. Используя встроенные возможности облачных платформ, они быстро копируют огромные массивы данных, стирают оригиналы вместе с резервными копиями и выдвигают требования о выкупе.

Эта группа действует не первый год и известна своей гибкостью. В 2021 году Storm-0501 атаковала американские школьные округа с помощью программы Sabbath, в 2023 году переключилась на медицинский сектор, а в 2024-м использовала Embargo. В сентябре того же года Microsoft описывала, как нападавшие вышли на гибридные облачные инфраструктуры, где ключевым приёмом стало компрометирование Active Directory с последующим переходом в Microsoft Entra ID и захватом полномочий глобального администратора.

В новой атаке целью стала крупная компания с разветвлённой структурой дочерних организаций. Каждый филиал имел собственный домен Active Directory и отдельный Azure-тенант, что усложняло защиту и создавало «слепые зоны» из-за неравномерного внедрения Microsoft Defender. Злоумышленники воспользовались этой разобщённостью, закрепились в среде, где защитные агенты не были развёрнуты, и применили техники скрытного перемещения по сети. В частности, использовался Evil-WinRM для удалённого запуска PowerShell , проводились атаки DCSync для кражи хешей паролей, а также проверялись активные сервисы безопасности, чтобы обходить мониторинг.

Отдельным шагом стало использование Entra Connect Sync серверов. Через них Storm-0501 сумела собрать полную картину облачных ресурсов и найти критическую учётную запись без многофакторной защиты, наделённую ролью глобального администратора. Смена пароля на уровне домена автоматически синхронизировалась в облако, после чего злоумышленники подключили собственный метод MFA и вышли в Azure портал уже с высшими привилегиями. Для закрепления в среде они добавили подконтрольный федеративный домен через AADInternals, что дало возможность входить от имени любого пользователя и генерировать SAML-токены.

После получения доступа к Azure злоумышленники воспользовались административными операциями для повышения полномочий, назначив себе роли User Access Administrator и Owner во всех подписках. С этого момента они приступили к разведке, используя AzureHound для картирования инфраструктуры и поиска мест хранения резервных данных. Обнаружив хранилища, Storm-0501 открывала их в публичный доступ и копировала содержимое с помощью AzCopy. Ключи от хранилищ похищались через операции управления ключами Azure Storage.

Завершающим этапом стало уничтожение инфраструктуры компании. Нападавшие массово удаляли снапшоты виртуальных машин, точки восстановления, контейнеры резервного копирования и целые аккаунты Azure Storage. Когда мешали политики неизменяемости или блокировки ресурсов, они пытались снять эти ограничения, а где это не удавалось — переходили к шифрованию данных, создавая собственный ключ в Azure Key Vault и применяя его через механизм encryption scopes. После завершения операции Storm-0501 связалась с жертвой через Microsoft Teams, используя уже скомпрометированную учётную запись, и потребовала деньги.

Microsoft указывает, что ограниченные полномочия на синхронизационные учётные записи Entra Connect, введённые в мае 2025 года, а также новые методы аутентификации позволяют серьёзно снизить риск подобных атак. Компания рекомендует включать многофакторную аутентификацию (MFA) для всех пользователей, в особенности администраторов, применять принцип минимальных прав, защищать сервера Entra Connect аппаратным модулем TPM, а также обеспечивать полное покрытие защиты для конечных точек. Для облачных ресурсов важно включать мониторинг, использовать блокировки и политику неизменяемости хранилищ, а также исключать анонимный доступ к контейнерам. Всё это в совокупности затрудняет переход злоумышленников от локальной компрометации к облачной и уменьшает шанс на потерю данных.