In einer zunehmend digitalisierten Welt sind Cyberangriffe eine ständige Bedrohung. Eine besonders aggressive Akteurin am Horizont: die Ransomware-Gruppe Storm-0501. Microsoft warnt aktuell vor gezielten Angriffen dieser Gruppe, die sich besonders auf Hybrid-Cloud-Umgebungen konzentriert – ein Bereich, der von vielen Unternehmen und Behörden für sensible Daten genutzt wird.
Wer ist Storm-0501?
Storm-0501 ist keine Unbekannte. Bereits 2021, damals noch unter dem Namen „Sabbath“, machte die Gruppe auf sich aufmerksam, als sie kritische IT-Infrastrukturen in Nordamerika ins Visier nahm. Ihr Modus Operandi: Sie infizierten Server öffentlicher Einrichtungen, verschlüsselten sensible Daten und forderten anschließend hohe Lösegeldsummen für die Entschlüsselung. Besonders dreist: Bei einem Vorfall kontaktierte die Gruppe sogar direkt betroffene Lehrer und Schüler einer Schule, um ihre Lösegeldforderungen durchzusetzen.
Doch die Bedrohung durch Storm-0501 hat sich weiterentwickelt – und richtet sich jetzt gezielt gegen Hybrid-Cloud-Umgebungen.
Warum sind Hybrid-Cloud-Umgebungen im Fokus?
Hybrid-Clouds kombinieren das Beste aus zwei Welten: Die private Cloud für sensible Daten und die öffentliche Cloud für weniger kritische Anwendungen. Diese Architektur bietet Flexibilität und Kostenersparnis, macht Unternehmen aber auch anfälliger, wenn Sicherheitslücken vorhanden sind.
Genau diese Schwachstellen nutzt Storm-0501 aus. Sie greifen unsichere Anmeldeinformationen privilegierter Konten an und verschaffen sich so Zutritt zu Hybrid-Cloud-Systemen. Einmal im Netzwerk, nutzen sie Tools wie das „SecretsDump“-Modul von Impacket, um sich seitlich durch das System zu bewegen und weitere Anmeldedaten zu extrahieren.
Der Angriff – Schritt für Schritt
Wie geht Storm-0501 bei ihren Angriffen vor? Microsoft hat einen typischen Ablauf skizziert:
Erstzugriff: Die Hacker verschaffen sich Zugang über unsichere oder gestohlene Anmeldeinformationen von privilegierten Benutzerkonten. Besonders häufig nutzen sie Administratorrechte, um sich in das Netzwerk einzugraben.
Seitliche Bewegung: Mit Tools wie „SecretsDump“ extrahieren sie über das Netzwerk weitere Anmeldedaten. So können sie Zugriff auf immer mehr Geräte im Unternehmen erlangen.
Ransomware-Einsatz: Sobald sie genug Kontrolle über das Netzwerk und die Cloud-Umgebung haben, setzen sie ihre Ransomware frei. Diese verschlüsselt die Daten der betroffenen Organisation und verlangt ein Lösegeld für die Entschlüsselung.
Warum du Storm-0501 ernst nehmen solltest
Besonders gefährlich ist, dass Storm-0501 nicht wahllos agiert. Die Gruppe hat es gezielt auf sensible Daten von Regierungsbehörden, Strafverfolgungsbehörden sowie Unternehmen aus dem Fertigungs- und Transportsektor abgesehen. Diese gezielte Vorgehensweise zeigt, dass es der Gruppe nicht nur um das schnelle Geld, sondern um strategische Angriffe auf kritische Infrastrukturen geht.
Wie kannst du dich schützen?
Microsoft empfiehlt, wachsam zu bleiben und stellt in einem Blogbeitrag eine Reihe von Indikatoren bereit, die auf eine mögliche Kompromittierung hinweisen. Unternehmen sollten ihre Hybrid-Cloud-Umgebungen sorgfältig überwachen, insbesondere privilegierte Benutzerkonten.
Einige konkrete Maßnahmen umfassen:
Multi-Faktor-Authentifizierung (MFA) für alle Cloud-Dienste aktivieren.
Regelmäßige Überprüfung und Aktualisierung von Anmeldeinformationen.
Einsatz von Sicherheitslösungen, die ungewöhnliche Netzwerkaktivitäten erkennen.
Backups kritischer Daten an sicheren Orten aufbewahren, die von der Cloud isoliert sind.
Fazit: Prävention ist der Schlüssel
Die Bedrohung durch Storm-0501 zeigt, dass Ransomware-Angriffe immer raffinierter werden. Es reicht nicht mehr, sich nur um die Sicherung lokaler Netzwerke zu kümmern – die Cloud ist ein genauso lohnendes Ziel für Angreifer. Insbesondere Hybrid-Cloud-Umgebungen, die durch die Kombination privater und öffentlicher Cloud-Dienste komplexer sind, müssen besonders geschützt werden.
© stock.adobe.com, Studios