Ransomware je dugo bio sinonim za zaključane fajlove na računarima i ucjene hakera koji traže otkup za povrat podataka. Međutim, Microsoft upozorava da kriminalne grupe sve više mijenjaju svoju strategiju i fokusiraju se na podatke u oblaku (cloud).
Umjesto da zaključavaju fajlove na lokalnim računarima, napadači sada ciljaju naloge sa administratorskim privilegijama, jer im oni omogućavaju kontrolu nad cijelim sistemom kompanije.
Grupa Storm-0501
Microsoft je opisao slučaj u kojem je grupa Storm-0501 uspjela kompromitovati veliku kompaniju sa više podružnica. Napadači su krenuli od slabije zaštićenih sistema, pronašli nalog bez višefaktorske autentifikacije (MFA), resetovali lozinku i dodali vlastiti MFA metod. Na taj način dobili su potpuni pristup cloud infrastrukturi i mogli se prijavljivati kao bilo koji korisnik, nesmetano istražujući mrežu.
Grupa Storm-0501 aktivna je od 2021. godine, kada je pomoću Sabbath ransomwarea napadala školske distrikte u SAD-u. Tokom 2024. godine, njihova meta bile su i zdravstvene ustanove, koje su napadali pomoću Embargo ransomwarea.
U novoj kampanji, nakon što su ušli u sistem, hakeri su:
- masovno izvlačili osjetljive podatke iz oblaka,
- brisali sigurnosne kopije da onemoguće oporavak,
- pokušali koristiti cloud enkripciju za zaključavanje fajlova,
- kontaktirali žrtvu putem Microsoft Teams aplikacije koristeći kompromitovan nalog i tražili otkup.
Iako im nije uspjelo da u potpunosti zaključaju sve podatke, kompanija je ostala u ozbiljnim problemima.
Oblak kao nova meta
Ova kampanja jasno pokazuje da se ransomware grupe prilagođavaju novoj realnosti. Cloud sistemi postaju primarna meta jer sadrže ključne poslovne podatke.
Kako bi se spriječile ovakve prijetnje, Microsoft savjetuje kompanijama da:
- obavezno koriste višefaktorsku autentifikaciju (MFA),
- prate aktivnosti korisničkih naloga i prava pristupa,
- redovno provjeravaju sigurnosna podešavanja cloud servisa, uključujući podružnice i povezane naloge,
- čuvaju sigurnosne kopije izvan primarnog cloud okruženja radi pouzdanog oporavka.
Poruka je jasna: ransomware više nije ograničen na lokalne računare – oblak je postao prva linija odbrane.
