微软警戒称，一个被跟踪为 Storm-0501 的掌握者已对其运作表情进行升级，不再使用敲诈软件对开采进行加密，转而将重心放在基于云的加密、数据窃取及敲诈步履上。

如今，这些黑客挥霍云原生功能来窃取数据、断根备份并殉国存储账户，从而在不部署传统敲诈软件加密器具的情况下向受害者施压并奉行敲诈。

Storm-0501 是至少自 2021 年起就活跃的掌握者，曾在针对寰宇各组织的缺欠中部署 Sabbath 敲诈软件。跟着时代推移，该掌握者加入了多个敲诈软件即处事（RaaS）平台，在这些平台上使用过 Hive、BlackCat（ALPHV）、Hunters International、LockBit 的加密步调，最近还使用了 Embargo 敲诈软件的加密步调。

2024 年 9 月，微软曾详确确认 Storm-0501 奈何将其运作领域推广到搀和云环境，从入侵 Active Directory 转向缺欠 Entra ID 田户。在这些缺欠中，掌握者要么通过坏心鸠合域创建握久后门，要么使用 Embargo 等敲诈软件对土产货开采进行加密。

微软上周发布的一份新发扬指出，如今该掌握者的战略发生了升沉—— Storm-0501 不再依赖土产货加密，而是隧谈在云霄奉行缺欠。

"与传统的土产货敲诈软件不同，传统形态下掌握者时时会部署坏心软件，对已入侵网罗内末端上的要道文献进行加密，然后就解密密钥进行研讨；而基于云的敲诈软件则带来了根人性的升沉，"微软掌握谍报部门的发扬中写谈。

Storm-0501 行使云原生才气，快速窃取遍及数据、殉国受害者环境中的数据和备份并索求赎金——通盘这些操作齐无需依赖传统坏心软件的部署。

基于云的敲诈软件缺欠

在微软不雅察到的近期缺欠中，黑客通过行使微软 Defender 部署中的间隙，入侵了多个 Active Directory 域和 Entra 田户。

随后，Storm-0501 使用窃取的目次同步账户（DSA），借助 AzureHound 等器具胪列用户、扮装和 Azure 资源。缺欠者最终发现了一个未启用多成分认证的全局处治员账户，借此重置了该账户的密码并获取了总共的处治员死心权。

凭借这些权限，他们通过添加由其死心的坏心鸠合域来诞生握久走访权限，从而唐突冒充实在任何用户，并绕过该域中的多成分认证保护。

微软暗意，他们通过挥霍 Microsoft.Authorization/elevateAccess/action 进一步擢升了对 Azure 的走访权限，最终得以将我方分拨到通盘者扮装，骨子上禁受了受害者的通盘这个词 Azure 环境。

Storm-0501 基于云的敲诈软件缺欠链轮廓  

一朝死心了云环境，Storm-0501 便启动禁用贯注机制，并从 Azure 存储账户中窃取明锐数据。掌握者还试图殉国存储快照、规复点、规复处事 vault 以及存储账户，以糟塌绸缪免费规复数据。

当掌握者无法从规复处事中删除数据时，他们会行使基于云的加密表情——创建新的密钥督察库和客户处治的密钥，骨子上是用新密钥对数据进行加密，除非公司支付赎金，不然将无法走访这些数据。

在窃取数据、殉国备份或加密云数据后，Storm-0501 便过问敲诈阶段，通过被入侵的账户借助微软 Teams 关联受害者，提倡赎金条目。

微软的发扬还提供了驻扎建议、微软 Defender XDR 检测步调以及狩猎查询，有助于发现和识别该掌握者所使用的战略。

由于敲诈软件加密步调在对开采进行加密前被遏制的情况日益增加世博官方网站(官方)手机APP下载，咱们可能会看到其他掌握者也从土产货加密转向基于云的数据窃取和加密——这类步履可能更难被检测和遏制。