Un groupe de cybercriminels s'intéresse directement à vos données stockées dans le Cloud ! Cette nouvelle forme de ransomware a une méthode bien particulière : exfiltrer et détruire les données, ainsi que les sauvegardes, puis exiger une rançon. Voici ce que l'on sait.

De l'Active Directory local à la compromission du cloud

Microsoft a publié un nouveau rapport au sujet des attaques menées Storm-0501, un groupe capable de compromettre les environnements hybrides, notamment où l'Active Directory et Microsoft Entra sont utilisés.

Leur porte d'entrée reste souvent le réseau local, c'est-à-dire l'infrastructure on-premise et la compromission de l'Active Directory. Dans un second temps, ils vont chercher à aller plus loin et à remonter jusqu'à l'environnement Cloud. Le pivot vers le cloud s'effectue via un composant clé : le serveur Entra Connect Sync, qui synchronise les identités entre l'Active Directory local et Microsoft Entra ID (anciennement Azure AD).

"Le déploiement limité de Microsoft Defender for Endpoint dans l'environnement a considérablement entravé la détection. Sur les multiples domaines compromis, seul un domaine avait un déploiement significatif de Defender for Endpoint, laissant des parties du réseau non surveillées.", précise Microsoft.

Dans la suite de cette attaque, Microsoft explique les premières tentatives de connexion au cloud ont été bloquées par des politiques d'accès conditionnel et l'authentification multifacteur. Pas suffisant pour décourager les pirates du groupe Storm-0501 qui ont fait preuve de persévérance... Ils ont continué leurs mouvements latéraux sur le réseau local (notamment avec Evil-WinRM) jusqu'à trouver un autre serveur Entra Connect, lié à un autre tenant Azure.

C'est là qu'ils ont découvert une faille liée à un défaut de configuration : un compte de service synchronisé disposant du rôle "Administrateur Global" mais sans aucune méthode MFA enregistrée. En réinitialisant le mot de passe de ce compte dans l'Active Directory, la synchronisation leur a ouvert les portes du cloud Microsoft...

Une fois dans le cloud : exfiltration, destruction et extorsion

Une fois authentifiés avec les privilèges les plus élevés sur le tenant Entra ID, les attaquants ont déroulé un ensemble d'actions malveillantes. Tout d'abord, leur premier objectif a été de déployer un mécanisme de persistance sous la forme d'une porte dérobée.

"Storm-0501 a créé une porte dérobée en utilisant un domaine fédéré ajouté de manière malveillante, ce qui lui permet de se connecter en tant que presque n'importe quel utilisateur, conformément à la propriété d'utilisateur ImmutableId.", explique Microsoft.

Leurs actions ne s'arrêtent pas là ! Ensuite, les cybercriminels ont élevé leurs privilèges au sein même d'Azure pour s'octroyer le rôle "Propriétaire" sur les abonnements. Cette action est significative : elle donne un contrôle total sur toutes les ressources cloud de la victime.

La phase finale de l’attaque, assimilable à un véritable "ransomware cloud", s’est déroulée en plusieurs étapes :

Exfiltration massive : à l'aide d'outils comme AzCopy , ils ont exfiltré des données depuis les comptes de stockage Azure vers leur propre infrastructure.

à l'aide d'outils comme , ils ont exfiltré des données depuis les comptes de stockage Azure vers leur propre infrastructure. Désactivation des protections : avant la destruction, ils ont tenté de supprimer les protections mises en place par l'organisation, comme les verrous de ressources et les politiques d'immuabilité qui empêchent la suppression des données.

avant la destruction, ils ont tenté de supprimer les protections mises en place par l'organisation, comme les verrous de ressources et les politiques d'immuabilité qui empêchent la suppression des données. Destruction des données et des sauvegardes : Storm-0501 a ensuite lancé une suppression des ressources critiques, visant principalement les comptes de stockage, mais aussi les snapshots de machines virtuelles et les coffres de sauvegarde Azure Recovery Services.

Storm-0501 a ensuite lancé une suppression des ressources critiques, visant principalement les comptes de stockage, mais aussi les snapshots de machines virtuelles et les coffres de sauvegarde Azure Recovery Services. Chiffrement en dernier recours : pour les données qu'ils ne pouvaient pas supprimer en raison de protections persistantes, ils ont utilisé une autre fonctionnalité cloud : le chiffrement. Ils ont créé leur propre clé de chiffrement dans un Azure Key Vault, l'ont appliquée aux données restantes pour les rendre inaccessibles, puis ont tenté de supprimer la clé.

N'oublions pas la dernière étape de la cyberattaque : l'extorsion. Les attaquants ont contacté leur victime directement via Microsoft Teams, en utilisant l'un des comptes compromis, pour exiger le paiement d'une rançon en échange de la restitution des données exfiltrées. Cette approche destructrice prouve, une nouvelle fois, que le Cloud n'est pas immunisé contre les menaces.

Face à cette menace intéressée autant par l'infrastructure on-premise que le Cloud, Microsoft recommande, à juste titre, une approche de défense en profondeur, couvrant à la fois l'environnement local et les identités cloud.

"Microsoft a récemment mis en œuvre un changement dans Microsoft Entra ID qui restreint les autorisations sur le rôle des comptes de synchronisation d'annuaire (DSA) dans Microsoft Entra Connect Sync et Microsoft Entra Cloud Sync. Cette modification permet d'empêcher les cybercriminels d'abuser des comptes de synchronisation d'annuaire dans les attaques visant à escalader les privilèges."

Dans son rapport, Microsoft met en avant les capacités de sa solution Defender for Endpoint, notamment pour automatiser l'investigation et la remédiation. D'autres recommandations sont proposées :

Appliquer le principe du moindre privilège : auditer régulièrement les comptes à privilèges et de ne leur accorder que les permissions strictement nécessaires.

auditer régulièrement les comptes à privilèges et de ne leur accorder que les permissions strictement nécessaires. Généraliser l'authentification multifacteur : le MFA doit être obligatoire pour tous les utilisateurs. Pour les comptes administrateurs, il est impératif d'exiger une méthode de MFA résistante au phishing. Il faut également s'assurer que tous les comptes à privilèges ont déjà une méthode MFA enregistrée pour empêcher un attaquant d'enregistrer la sienne.

le MFA doit être obligatoire pour tous les utilisateurs. Pour les comptes administrateurs, il est impératif d'exiger une méthode de MFA résistante au phishing. Il faut également s'assurer que tous les comptes à privilèges ont déjà une méthode MFA enregistrée pour empêcher un attaquant d'enregistrer la sienne. Configurer des politiques d'accès conditionnel : ces politiques permettent de bloquer les connexions suspectes en se basant sur des critères comme la conformité de l'appareil ou la localisation IP. Il est notamment recommandé de limiter l'accès des comptes de synchronisation (DSA) à des adresses IP de confiance (liste blanche).

ces politiques permettent de bloquer les connexions suspectes en se basant sur des critères comme la conformité de l'appareil ou la localisation IP. Il est notamment recommandé de limiter l'accès des comptes de synchronisation (DSA) à des adresses IP de confiance (liste blanche). Isoler les comptes Administrateur Global : ces comptes critiques ne devraient avoir aucun lien avec l'Active Directory local. Ils doivent être des comptes "cloud-natifs" dédiés, avec des identifiants séparés.

ces comptes critiques ne devraient avoir aucun lien avec l'Active Directory local. Ils doivent être des comptes "cloud-natifs" dédiés, avec des identifiants séparés. Renforcer la sécurité des domaines fédérés : pour empêcher la mise en place d'une porte dérobée, il est conseillé de renforcer les politiques de validation des jetons SAML pour bloquer les tentatives d'authentification provenant de domaines non autorisés.

pour empêcher la mise en place d'une porte dérobée, il est conseillé de renforcer les politiques de validation des jetons SAML pour bloquer les tentatives d'authentification provenant de domaines non autorisés. Activer Microsoft Entra ID Protection : cet outil permet de surveiller en continu les risques liés aux identités et de créer des politiques d'accès conditionnel basées sur le niveau de risque d'une connexion.

