Ein finanziell motivierter Sturm auf Azure-Instanzen
Das Wichtigste in Kürze
- Storm-0501-Ransomware greift hybride Azure-Cloud-Umgebungen an: Übernahme via Active Directory und Entra ID, Datendiebstahl, Verschlüsselung und zerstörte Backups. Microsoft hat mit eingeschränkten DSA-Berechtigungen und TPM-Pflicht auf Entra Connect Sync reagiert
- Baggenstos schützt mit vordefinierten Sicherheits-Baselines und ransomwaresicherem Backup via Azure Resource Guard
Microsoft und Baggenstos warnen vor der Storm-0501-Bande, die bei Erfolg Daten stiehlt, Originale verschlüsselt und Backups zerstört. Danach verlangt sie Lösegeld.
Die Ransomware-Gang ist seit Jahren aktiv und für Angriffe auf Schulbezirke und den Gesundheitssektor in den USA bekannt. Nun hat sie ihre Techniken verfeinert und attackiert hybride Cloud-Umgebungen anstelle von lokalen Endpunkten. Ihre cloudbasierte Ransomware saugt rasch grosse Datenmengen ab. Herkömmliche Malware braucht es nicht mehr.
Anatomie eines Angriffs
Ein Angriff vom letzten Herbst 2024 zeigt, wie die Kriminellen arbeiten. Sie kompromittieren Active-Directory-Umgebungen und Microsoft Entra ID, um globale Administratorenrechte zu erlangen. Danach werden Backdoors in Entra-ID-Mandantenkonfigurationen eingepflanzt (mittels Verbunddomänen). Eine andere Taktik besteht im Einsatz von lokaler Ransomware, um Endpunkte und Server zu verschlüsseln.
Microsoft seziert in einem Blogbeitrag einen konkreten Angriff. Stark verkürzt: Im besprochenen Fall entstand die Schwachstelle durch eine fragmentierte Bereitstellung von Microsoft-Defender-Sicherheit bei einzelnen Tochterunternehmen des angegriffenen Unternehmens. Ein Entra Connect Sync Server ohne Endpunktsicherheit diente beim Angriff als Drehscheibe. In der Folge wurden Passwort-Hashes gestohlen und versucht, sich an mehreren Konten als privilegierte Nutzer anzumelden. Dies gelang nach Fehlschlägen. Mit einem globalen Admin-Konto konnten sich schliesslich die Kriminellen beim Azure-Portal anmelden.
Schutz vor der Azure-Übernahme
Microsoft hat auf die Attacken reagiert und Vorkehrungen getroffen. Eine Änderung in Microsoft Entra ID schränkt die Berechtigungen für die Directory Synchronization Accounts (DSA)-Rolle in Microsoft Entra Connect Sync und Microsoft Entra Cloud Sync ein. Diese Änderung hilft dabei, zu verhindern, dass Bedrohungsakteure Directory Synchronization Accounts in Angriffen missbrauchen, um Berechtigungen zu erweitern.
Darüber hinaus führt eine im Mai 2025 veröffentlichte neue Version moderne Authentifizierung ein, die es Kunden ermöglicht, anwendungsbasierte Authentifizierung für erhöhte Sicherheit zu konfigurieren (derzeit in öffentlicher Vorschau). Es ist ausserdem wichtig, das Trusted Platform Module (TPM) auf dem Entra Connect Sync-Server zu aktivieren, um sensible Anmeldeinformationen und kryptografische Schlüssel sicher zu speichern und so die Techniken zur Extraktion von Anmeldeinformationen von Storm-0501 zu reduzieren.
Was Baggenstos tun kann
Baggenstos unterstützt Kunden bei der Umsetzung der Sicherheitspraxis für Azure Umgebungen. Es gilt, eine Reihe von Massnahmen einzuleiten, die die lokale Infrastruktur, die Cloud-Identitäten und -Ressourcen schützen und die Sicherheit generell erhöhen.
«Baggenstos verfügt über sichere vordefinierte Baselines», sagt Cloud Solution Architect Sven Heeb. «Um das Schutzniveau zu heben, arbeiten wir mit den neuesten Security Standards. So bieten wir etwa ein ransomwaresicheres Backup mit Azure Ressource Guard an.»
Die jüngsten Angriffe von Cyberkriminellen zeigen deutlich, dass hybride Cloud-Umgebungen besonders sicher geplant und umgesetzt werden müssen:
«Gerade hybride Cloud-Umgebungen müssen besonders sicher geplant und umgesetzt werden - mit den Produktivitätsvorteilen sind nämlich auch neue Angriffsvektoren entstanden.».
Blogbeitrag zur Storm-Gruppe von Microsoft Threat Intelligence
