{"id":315021,"date":"2025-08-28T02:44:42","date_gmt":"2025-08-28T00:44:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315021"},"modified":"2025-08-30T00:52:52","modified_gmt":"2025-08-29T22:52:52","slug":"microsoft-warnt-ransomware-gruppe-storm-0501-greift-azure-cloud-an-verlangt-zahlungen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/28\/microsoft-warnt-ransomware-gruppe-storm-0501-greift-azure-cloud-an-verlangt-zahlungen\/","title":{"rendered":"Microsoft warnt: Ransomware-Gruppe Storm-0501 greift (Azure) Cloud an, verlangt Zahlungen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2019\/07\/Azure.jpg\" width=\"86\" height=\"50\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/08\/29\/microsoft-warns-ransomware-group-storm-0501-attacks-azure-cloud-demands-payments\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft warnt vor der finanziell motivierten Gruppe Storm-0501, die kontinuierlich mit Angriffen auf Cloud-Instanzen (Azure) zielt. Bei Erfolg werden Daten abgezogen, dann die Originale verschl\u00fcsselt und Backups zerst\u00f6rt. Anschlie\u00dfend wird L\u00f6segeld verlangt.<\/p>\n<p><!--more--><\/p>\n<h2>Cloud-Bedrohung: Warnung vor Storm 0501<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/18cd7472778748de8cfc15d76002b655\" alt=\"\" width=\"1\" height=\"1\" \/>In einem Beitrag\u00a0<a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/08\/27\/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware\/\" target=\"_blank\" rel=\"noopener\">Storm-0501's evolving techniques lead to cloud-based ransomware<\/a> vom 27. August 2025 warnt Microsoft vor dem finanziell motivierten Bedrohungsakteur Storm-0501.<\/p>\n<p><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2025\/08\/27\/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware\/\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/C1Tj3JDd\/image.png\" alt=\"Storm-0501 and Azure Security Warning \" width=\"604\" height=\"800\" \/><\/a><\/p>\n<p>Microsoft Threat Intelligence hat beobachtet, dass der finanziell motivierte Angreifer Storm-0501 seine Kampagnen kontinuierlich weiterentwickelt. Storm-0501 setzte 2021 bei einem Angriff auf Schulbezirke in den Vereinigten Staaten noch die Ransomware \"Sabbath\"\u00a0 ein. Im November 2023 griff Storm-0501 den Gesundheitssektor an und wechselte im Laufe der Jahre mehrfach die verteilte Ransomware (im Jahr 2024 wurde die Ransomware \"Embargo\" verwendet).<\/p>\n<p>Aktuell konzentriert sich der Angreifer laut Microsoft verst\u00e4rkt auf cloudbasierte Taktiken, Techniken und Verfahren (TTPs). Der Angreifer sei zwar daf\u00fcr bekannt, schreibt Redmond, dass er hybride Cloud-Umgebungen ins Visier nimmt. Inzwischen habe sich sein prim\u00e4res Ziel von der Bereitstellung lokaler Endpunkt-Ransomware hin zur Verwendung cloudbasierter Ransomware-Taktiken verlagert.<\/p>\n<h2>Neu: cloudbasierte Ransomware<\/h2>\n<p>Gegen\u00fcber klassischen Ransomware-Gruppen, die lokale Systeme durch Malware kompromittieren, um wichtige Dateien auf Endger\u00e4ten innerhalb des kompromittierten Netzwerks zu verschl\u00fcsseln und dann \u00fcber einen Entschl\u00fcsselungscode zu verhandeln,\u00a0 gibt es in der Cloud Ver\u00e4nderungen. Storm-0501 nutzt f\u00fcr seine cloudbasierte Ransomware auch cloudnative Funktionen, um schnell gro\u00dfe Datenmengen zu exfiltrieren, Daten und Backups innerhalb der Umgebung des Opfers zu zerst\u00f6ren und L\u00f6segeld zu fordern. Durch die cloudnative Funktionen ist der Angreifer nicht mehr auf den Einsatz herk\u00f6mmlicher Malware angewiesen.<\/p>\n<p>Im September 2024 wurde <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/09\/26\/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments\/\" target=\"_blank\" rel=\"noopener\">bekannt<\/a> wie Storm-0501 seine lokalen Ransomware-Operationen auf hybride Cloud-Umgebungen ausweitete. Der Angreifer verschaffte sich Zugang, indem er Active Directory-Umgebungen kompromittierte. Dann wechselte er zu Microsoft Entra ID, wo er die Berechtigungen f\u00fcr Hybrid- und Cloud-Identit\u00e4ten eskalierte, um globale Administratorrechte zu erlangen. Die Auswirkungen dieser Angriffe nahmen laut zwei Formen an:<\/p>\n<ul>\n<li>Entweder wurden Backdoors in Entra ID-Mandantenkonfigurationen implantiert, indem b\u00f6swillig hinzugef\u00fcgte Verbunddom\u00e4nen verwendet wurden, um die Anmeldung als nahezu jeder Benutzer zu erm\u00f6glichen,<\/li>\n<li>oder es wurde lokale Ransomware eingesetzt, um Endpunkte und Server zu verschl\u00fcsseln, um schlie\u00dflich L\u00f6segeld f\u00fcr die Entschl\u00fcsselungsschl\u00fcssel zu fordern.<\/li>\n<\/ul>\n<p>Es kommt im Microsoft-Beitrag nicht vor, aber mich erinnert das Ganze an die\u00a0 Ausnutzung der Schwachstelle CVE-2025-53786, die ich Anfang August 2025 im Beitrag\u00a0 Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2025\/08\/07\/microsoft-exchange-server-hybrid-durch-cve-2025-53786-gefaehrdet\/\">Microsoft Exchange Server Hybrid durch CVE-2025-53786 gef\u00e4hrdet<\/a> erw\u00e4hnt hatte.<\/p>\n<h2>Ablauf einer aktuellen Storm-0501-Kampagne<\/h2>\n<p>Microsoft beschreibt im aktuellen Blog-Beitrag den Ablauf eines konkreten Angriffs auf eine Organisation. Dort kompromittierte Storm-0501 ein gro\u00dfes Unternehmen, das aus mehreren Tochtergesellschaften besteht. Jede dieser T\u00f6chter betreibt zwar ihre eigene Active Directory-Dom\u00e4ne. Diese Dom\u00e4nen sind durch aber Dom\u00e4nenvertrauensstellungen miteinander verbunden. Dies erm\u00f6glicht eine dom\u00e4nen\u00fcbergreifende Authentifizierung und den Zugriff auf Ressourcen.<\/p>\n<h3>Arg komplexe Cloud-Umgebung, aber Praxis<\/h3>\n<p>Microsoft skizzierte in seinem Beitrag die Umgebung des Opfers. Active Directory-Dom\u00e4nen wurden beim Opfer mithilfe von Entra Connect Sync-Servern mit mehreren Entra ID-Mandanten synchronisiert. In einigen F\u00e4llen wurde eine einzelne Dom\u00e4ne mit mehr als einem Mandanten synchronisiert, was die Identit\u00e4tsverwaltung und -\u00fcberwachung weiter erschwerte.<\/p>\n<p>Verschiedene Tochtergesellschaften setzten separate Microsoft Azure-Mandanten mit unterschiedlicher Microsoft Defender-Absicherungen ein. Nur ein Mandant setzte Microsoft Defender for Endpoint eingesetzt und hatte Ger\u00e4te aus mehreren Active Directory-Dom\u00e4nen in die Lizenz dieses einzelnen Mandanten integriert. Diese fragmentierte Bereitstellung f\u00fchrte laut Microsoft \"zu Sichtbarkeitsl\u00fccken\" in der gesamten Umgebung.<\/p>\n<h3>Schwachstellen geschickt ausgenutzt<\/h3>\n<p>Microsoft zeichnet in seinem l\u00e4nglichen Beitrag nach, wie die Angreifer diese Umgebung und deren Schwachstellen geschickt ausnutzten. Im lokalen Teil des Angriffs \u00fcberpr\u00fcften die Angreifer die Endpunkte auf Defender und kompromittierten dann einen Entra Connect Sync-Server, der das Endpunkt-Sicherheitsprodukt nicht verwendete. Microsoft\u00a0 geht davon aus, dass dieser Server als Dreh- und Angelpunkt diente. Der Angreifer richtete von dort einen Tunnel ein, um sich lateral innerhalb des Netzwerks zu bewegen.<\/p>\n<p>F\u00fcr diese seitliche Bewegung verwendete die Gruppe Evil-WinRM, ein Post-Exploitation-Tool, das PowerShell \u00fcber Windows Remote Management (WinRM) f\u00fcr die Remote-Codeausf\u00fchrung missbraucht.\u00a0Au\u00dferdem nutzten sie einen DCSync-Angriff, eine Technik zum Auslesen von Anmeldedaten, mit der sich ein Angreifer durch Missbrauch des Directory Replication Service Remote Protocol als Dom\u00e4nencontroller ausgeben und in dieser Rolle sensible Active Directory-Daten abrufen kann, beispielsweise Passwort-Hashes f\u00fcr alle Benutzer in der Dom\u00e4ne.<\/p>\n<p>Mit diesen gestohlenen Anmeldedaten versuchten die Eindringlinge, sich an mehreren Konten als privilegierte Benutzer anzumelden. Hier wurden sie jedoch blockiert, da die Konten \u00fcber eine Multi-Faktor-Authentifizierung (MFA) verf\u00fcgten.<\/p>\n<p>Der Gruppe gelang es, \u00fcber das Active Directory einen zweiten Entra Connect-Server, der mit einem anderen Entra ID-Mandanten und einer anderen Active Directory-Dom\u00e4ne verbunden war, zu kompromittierten. Von dort\u00a0starteten sie erneut einen DCSync-Angriff. Diesmal konnte Storm-0501 eine nicht-menschliche synchronisierte Identit\u00e4t identifizieren, der in Microsoft Entra ID auf diesem Mandanten eine globale Administratorrolle zugewiesen war. Und bei dieser war die MFA nicht aktiviert.<\/p>\n<p>Zuerst wurde das das lokale Passwort, das (\u00fcber Entra Connect Sync) mit der Cloud-ID dieses Benutzers synchronisiert wurde, des Benutzers zur\u00fcckgesetzt. Anschlie\u00dfend registrierten die Angreifer eine neue, von ihnen kontrollierte MFA-Methode und nutzten dieses Konto, um sich lateral zwischen verschiedenen Ger\u00e4ten im Netzwerk zu bewegen, bis sie schlie\u00dflich einen hybriden Server fanden, \u00fcber den sie sich mit dem globalen Administratorkonto beim Azure-Portal anmelden konnten.<\/p>\n<p>Als es dem Angreifer gelang, auf die Conditional Access-Richtlinien zuzugreifen, und sich mit einem globalen Administratorkonto beim Azure-Portal anzumelden, hatte Storm-0501 im Wesentlichen die vollst\u00e4ndige Kontrolle \u00fcber die Cloud-Dom\u00e4ne, schreibt Microsoft. Sie registrierten\u00a0einen Entra-ID-Mandanten, den sie kontrollierten, als vertrauensw\u00fcrdige Verbunddom\u00e4ne. Das war die Hintert\u00fcr f\u00fcr Storm-0501, die einen dauerhaften Zugriff erm\u00f6glichte. Damit konnte Storm-0501, SAML-Token (Security Assertion Markup Language) erstellen, die f\u00fcr den Mandanten des Opfers g\u00fcltig waren. Sie konnten sich fortan als Benutzer des Mandanten des Opfers auszugeben, und die Microsoft Entra-Rollen des imitierten Benutzers \u00fcbernehmen.<\/p>\n<p>\u00dcber das kompromittierte globale Microsoft Entra Administratorkonto erlangte Storm-0501 die Azure-Rolle \"User Access Administrator\", und damit Zugriff auf alle Azure-Abonnements des Unternehmens und die darin gespeicherten Daten. Die Angreifer l\u00f6schte eine Reihe von Daten. Daten, die sich nicht l\u00f6schen lie\u00dfen, oder ungel\u00f6scht bleiben sollten, wurden dann \u00fcber die Cloud-Funktionen mit eigenen Keys verschl\u00fcsselt. Anschlie\u00dfend\u00a0erpressten die Angreifer dann das Opfer zur Zahlung eines L\u00f6segelds. Dabei verwendeten sie ein kompromittiertes Teams-Konto f\u00fcr die Kontaktaufnahme und die Verhandlungen.<\/p>\n<h3>Microsoft gibt Ratschl\u00e4ge zum Schutz<\/h3>\n<p>Im Beitrag gibt Microsoft im Abschnitt \"Mitigation and protection guidance\" dann noch Hinweise auf mehrere Ma\u00dfnahmen, um sich vor solchen Storm-0501-Angriffen zu sch\u00fctzen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft warnt vor der finanziell motivierten Gruppe Storm-0501, die kontinuierlich mit Angriffen auf Cloud-Instanzen (Azure) zielt. Bei Erfolg werden Daten abgezogen, dann die Originale verschl\u00fcsselt und Backups zerst\u00f6rt. Anschlie\u00dfend wird L\u00f6segeld verlangt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[4375,1171,4328],"class_list":["post-315021","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-azure","tag-cloud","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315021","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315021"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315021\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315021"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315021"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315021"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}