Cyberkriminelle Gruppe Storm-0501 setzt auf Cloud-basierte Ransomware
Die finanziell motivierte Cyberkriminellen-Gruppe Storm-0501 hat ihre Angriffstaktiken weiterentwickelt und konzentriert sich zunehmend auf Cloud-basierte Ransomware, wie Microsoft Threat Intelligence berichtet. Anstatt wie früher lokale Endgeräte mit Schadsoftware zu verschlüsseln, nutzt die Gruppe nun Cloud-native Funktionen, um große Datenmengen schnell zu exfiltrieren, Backups zu zerstören und Lösegeld zu fordern – ohne traditionelle Malware einzusetzen. Storm-0501, seit 2021 aktiv, begann mit der Sabbath-Ransomware gegen US-Schulbezirke und griff 2023 den Gesundheitssektor an. 2024 setzte die Gruppe die Embargo-Ransomware ein, die im Ransomware-as-a-Service (RaaS)-Modell betrieben wird und doppelte Erpressungstaktiken nutzt: Datenverschlüsselung und Drohung mit Datenlecks. In einer kürzlich beobachteten Kampagne kompromittierte Storm-0501 ein Großunternehmen mit mehreren Tochtergesellschaften, die jeweils eigene Active Directory-Domänen und Azure-Tenants nutzen. Lücken in der Sicherheitsabdeckung, insbesondere durch unvollständige Bereitstellung von Microsoft Defender for Endpoint, erleichterten den Angriff. Die Angreifer starteten mit einem Kompromittieren von Active Directory, führten Reconnaissance mit…

