Serangan ransomware terbaru oleh kelompok kriminal siber bernama Storm-0501 menyoroti pergeseran signifikan dalam taktik serangan, dari fokus pada endpoint tradisional ke lingkungan berbasis cloud.
Kelompok ini berhasil menembus jaringan perusahaan besar, memanfaatkan lingkungan Azure mereka untuk mengeksfiltrasi dan menghancurkan data, serta menekan pembayaran tebusan. Serangan ini dimulai dengan kompromi akun Microsoft Teams dan kemudian berkembang ke lingkungan on-premises dan cloud perusahaan.
Storm-0501 memanfaatkan kelemahan dalam konfigurasi Active Directory dan Microsoft Entra ID, secara bertahap meningkatkan hak istimewa untuk mendapatkan akses administratif global. Mereka menggunakan teknik seperti DCSync untuk mencuri kredensial dan Evil-WinRM untuk eksekusi kode jarak jauh. Kelompok ini berhasil melewati pertahanan seperti Multi-Factor Authentication (MFA) dengan menargetkan Entra Connect server yang tidak menggunakan endpoint security dan kemudian mengeksploitasi identitas yang tidak memiliki MFA.
Setelah mendapatkan kendali atas portal Azure, Storm-0501 memanfaatkan hak administratif global untuk mendaftarkan tenant Entra ID yang terpercaya, menciptakan backdoor untuk akses persisten. Mereka kemudian mencuri dan menghapus data, serta menekan pembayaran tebusan melalui akun Microsoft Teams yang telah dikompromikan.
Keberhasilan serangan ini menyoroti pentingnya praktik keamanan yang kuat, termasuk penerapan prinsip hak istimewa paling sedikit, kebijakan akses kondisional, dan penggunaan MFA secara luas. Microsoft telah memperkenalkan perubahan dalam Microsoft Entra ID untuk mencegah penyalahgunaan akun sinkronisasi direktori dan juga menawarkan fitur autentikasi berbasis aplikasi.
Sumber: theregister.co.uk