كشفت مايكروسوفت عن تفاصيل هجوم سيبراني جديد شنته مجموعة Storm-0501، استغلت فيه إمكانات الحوسبة السحابية ضمن منصة Azure لتنفيذ هجوم فدية متطور. المهاجمون قاموا بسرقة كميات ضخمة من البيانات، ثم حذفوا النسخ الاحتياطية والبيانات الأصلية لمنع الضحية من استعادة أنظمته. وبحسب مايكروسوفت، يُعد هذا النهج تطورا لافتا في تكتيكات هجمات الفدية، إذ يتيح للمهاجمين تنفيذ العملية من دون الاعتماد على برمجيات خبيثة تُزرع داخل الأنظمة المحلية. المجموعة، التي ظهرت منذ 2021، استهدفت مؤسسات تعليمية وصحية، وسبق أن استخدمت برمجيات فدية متعددة مثل Embargo عام 2024.
استغلال خوادم Entra وActive Directory لتحقيق صلاحيات عليا والسيطرة على الحسابات السحابية
في الحملة الأخيرة، تسللت المجموعة إلى مؤسسة كبيرة ذات عدة كيانات تشغيلية، واستطاعت الحصول على صلاحيات “Domain Admin” داخل بيئة Active Directory. ثم استغلت خوادم Entra Connect لتنفيذ هجمات DCSync والحصول على بيانات اعتماد حساسة، بما في ذلك حسابات ذات صلاحيات عالية. بعد ذلك، تمكنت من الاستفادة من هوية متزامنة غير بشرية مُنحت دور “Global Administrator” داخل Entra ID من دون تفعيل المصادقة متعددة العوامل (MFA)، ما أتاح لهم اختراق بوابة Azure كمسؤولين شاملين. هذه الخطوة منحتهم القدرة على إنشاء نطاقات موثوقة للتحايل والدخول كأي مستخدم تقريبا.
مراحل الهجوم شملت نسخ البيانات عبر AzCopy وحذف الموارد وتشفير المحمية منها
بمجرد الوصول إلى حسابات الإدارة العليا في Azure، قام المهاجمون بمنح أنفسهم صلاحيات “Owner” على جميع الاشتراكات السحابية، ثم نفذوا عمليات استكشاف موسعة لتحديد المخازن الحيوية. بعد سرقة المفاتيح الخاصة بحسابات التخزين، تم استخدام أداة AzCopy لسحب البيانات إلى بنيتهم التحتية. أعقب ذلك حذف شامل للموارد السحابية لحرمان الضحية من الاستعادة، أما الموارد المحمية بسياسات عدم الحذف فقد جرى تشفيرها. في النهاية، تواصل المهاجمون مع الضحية عبر Microsoft Teams لعرض مطالبهم المالية.
كيف يمكن مواجهة هجمات الفدية المعتمدة على السحابة؟
أوصت مايكروسوفت المؤسسات بعدد من الإجراءات الدفاعية للحد من هذه التكتيكات، أبرزها:
- تفعيل نسخ احتياطية لـAzure Blob لضمان استعادة البيانات عند الحذف العرضي أو الخبيث.
- الالتزام بمبدأ أقل صلاحية عند منح الوصول إلى بيانات التخزين.
- تفعيل سجلات Azure Key Vault والاحتفاظ بها لمدة عام كامل لتتبع الأنشطة.
- تفعيل Azure Backup للآلات الافتراضية لضمان حماية البيانات المخزنة عليها.
- التحقيق المستمر في مسارات الهجوم داخل البيئات الهجينة باستخدام Microsoft Security Exposure Management.
