Microsoft, bulut altyapılarını hedef alan yeni bir fidye yazılım grubu konusunda uyarıda bulundu. Şirketin raporunda “Storm-0501” olarak adlandırılan grubun, ağırlıklı olarak hibrit bulut ortamlarına saldırdığı belirtildi. Bu saldırı yönteminde ilk olarak şirketlerin yerel Active Directory alanlarına sızılıyor, ardından Entra Connect Sync sunucuları üzerinden bulut ortamlarına geçiş yapılıyor. Bu sayede Microsoft Entra ID üzerinde Global Admin yetkilerine sahip, çok faktörlü kimlik doğrulama kullanmayan hesaplar üzerinden tam erişim sağlanabiliyor.
Siber korsanlar bulutun kalbine saldırıyor, fidye talebi anında geliyor
Erişim sağlandıktan sonra saldırganlar, kötü amaçlı federasyon alanları ekleyerek arka kapılar oluşturuyor ve SAML token’larını kötüye kullanıyor. Bu yöntem, saldırganların bulut ortamında veri sızdırmasına, Azure üzerinden kritik kaynakları haritalandırmasına, AzCopy CLI ile verileri dışarı aktarmasına, Azure operasyonlarıyla yedeklemeleri silmesine ve hatta Azure Key Vault anahtarlarıyla dosyaları şifrelemesine imkân tanıyor.
Storm-0501’in en dikkat çeken taktiklerinden biri ise mağdurlarla doğrudan Microsoft Teams üzerinden iletişime geçip fidye talep etmesi. Böylece hem saldırıların hızını artırıyor hem de kurum içi sistemleri atlayarak doğrudan kullanıcılarla temas kurabiliyor. Microsoft’un açıklamasına göre grup, geleneksel kötü amaçlı yazılım dağıtımı yöntemlerine ihtiyaç duymadan bulutun kendi araçlarını kullanarak büyük ölçekli veri sızıntısı ve yedeklerin yok edilmesini mümkün kılıyor.
Şirketlere yönelik tavsiyeler arasında en kritik adım, tüm kullanıcılar için özellikle de ayrıcalıklı hesaplar için çok faktörlü kimlik doğrulamanın zorunlu hale getirilmesi. Bunun yanında Directory Synchronization hesaplarının yetkilerinin sınırlandırılması, Entra Connect Sync sunucularında TPM kullanımı, Azure kaynak kilitleri ve değiştirilemezlik politikalarının uygulanması öneriliyor.
Microsoft ayrıca Defender for Endpoint ve Defender for Cloud’un tüm kiracılarda etkinleştirilmesini, Azure etkinlik günlükleri ve ileri seviye avlama sorgularıyla sürekli denetim yapılmasını öneriyor. Bu adımların uygulanması, Storm-0501’in kullandığı saldırı tekniklerine karşı en etkili koruma yolları arasında gösteriliyor.
