كشفت تقارير أمنية حديثة من فريق Microsoft Threat Intelligence عن قيام جماعة التهديد المالي Storm-0501 بتطوير تكتيكاتها لشن هجمات ابتزاز وتسريب بيانات تستهدف بيئات الحوسبة السحابية. وعلى عكس برمجيات الفدية التقليدية التي تركز على أجهزة المؤسسة المحلية (On-premises)، فإن برمجيات الفدية السحابية تمثل تحولًا جوهريًا في أسلوب الهجوم.
الفرق بين الهجمات التقليدية والسحابية
في النماذج التقليدية، يقوم المهاجم عادةً بزرع برمجيات خبيثة لتشفير الملفات الحساسة، ثم التفاوض على مفتاح فك التشفير. أما في بيئات السحابة، تستغل Storm-0501 القدرات المدمجة في المنصات السحابية نفسها لتسريب كميات ضخمة من البيانات، وتدمير النسخ الاحتياطية، ثم المطالبة بفدية—all بدون الاعتماد على برمجيات خبيثة تقليدية.
خلفية عن Storm-0501
-
تم توثيقها لأول مرة: قبل عام تقريبًا من قبل مايكروسوفت.
-
أهدافها: قطاعات حكومية، صناعية، نقل، وإنفاذ القانون في الولايات المتحدة.
-
نشاطها: منذ عام 2021، وتطورت إلى نموذج Ransomware-as-a-Service (RaaS)، حيث استخدمت برمجيات فدية متعددة مثل:
-
Sabbath
-
Hive
-
BlackCat (ALPHV)
-
Hunters International
-
LockBit
-
Embargo
-
أسلوب الهجوم
تعتمد هجمات Storm-0501 على سلسلة متعددة المراحل تشمل:
-
الوصول الأولي (Initial Access):
يتم عبر سماسرة وصول مثل Storm-0249 و Storm-0900 باستخدام بيانات اعتماد مسروقة، أو عبر استغلال ثغرات Remote Code Execution في الخوادم غير المحدثة. -
التحرك الأفقي (Lateral Movement):
-
استخدام أداة Evil-WinRM للتنقل بين الأنظمة.
-
تنفيذ هجوم DCSync لاستخراج بيانات الاعتماد من Active Directory.
-
-
التصعيد والانتقال للسحابة:
-
استهداف خوادم Entra Connect للتنقل بين بيئات Active Directory و Entra ID.
-
استغلال حسابات Directory Synchronization للوصول إلى صلاحيات Global Admin.
-
تجاوز غياب المصادقة متعددة العوامل (MFA).
-
-
التنفيذ النهائي:
-
تسجيل نطاقات ضارة كـ Trusted Federated Domains في Azure Portal.
-
إنشاء أبواب خلفية للوصول إلى موارد أزور.
-
تسريب البيانات ثم حذفها بشكل جماعي لمنع الاستعادة.
-
بدء مرحلة الابتزاز عبر التواصل مع الضحية باستخدام حسابات Microsoft Teams مخترقة.
-
إجراءات الحماية من مايكروسوفت
-
تحديثات جديدة على Entra ID لمنع استغلال حسابات المزامنة.
-
إصدار تحديث لـ Entra Connect (الإصدار 2.5.3.0) لدعم المصادقة الحديثة (Modern Authentication).
-
تفعيل وحدة Trusted Platform Module (TPM) على خادم Entra Connect لتخزين بيانات الاعتماد والمفاتيح المشفرة بشكل آمن.
تعكس هجمات Storm-0501 كيف يستغل المهاجمون الثغرات الأمنية في بيئات السحابة الهجينة، مؤكدين على ضرورة تحديث الأنظمة باستمرار، وتفعيل المصادقة متعددة العوامل، وتأمين حسابات المزامنة لحماية البنى التحتية الحيوية من الابتزاز السيبراني.
