Le groupe cybercriminel Storm-0501, suivi par Microsoft depuis 2021, continue de faire évoluer ses méthodes. Longtemps centrés sur les systèmes d’information on-premise, ses rançongiciels ciblent désormais aussi les environnements cloud hybrides, que beaucoup d’organisations pensaient jusqu’ici plus résilients face aux attaques.
Dans un récent billet, Microsoft détaille l’attaque d’une grande entreprise composée de plusieurs filiales et domaines Active Directory interconnectés. Après avoir compromis un premier domaine sur site, les assaillants ont exploité le compte de synchronisation Entra Connect Sync pour accéder à différents tenants Azure, en s’appuyant notamment sur l’outil open source AzureHound pour cartographier les privilèges. L’authentification multifacteur (MFA) a ralenti leur progression sans l’empêcher.
Les cybercriminels ont ensuite abusé de la portée du chiffrement Azure Storage, allant jusqu’à supprimer la clé utilisée afin de rendre les données inaccessibles, avant de lancer une phase d’extorsion via Microsoft Teams à partir de comptes compromis.
Microsoft alerte : « Storm-0501 continue de démontrer sa capacité à passer d’un environnement sur site à un environnement cloud, illustrant l’adaptation des acteurs malveillants à la généralisation du cloud hybride. »
