g1053-storm-0501 - RunkIntel

# Storm-0501 > [!danger] Storm-0501 - Pioneiro do Ransomware Cloud-Nativo em 2025 > Storm-0501 foi o primeiro grupo a documentar operacionalmente o **pivot de redes on-premises para Azure** como vetor de ransomware - comprometendo Microsoft Entra Connect Sync para sincronizar credenciais entre AD local e Entra ID cloud e, a partir dai, acessar e destruir dados em escala na nuvem. Em agosto de 2025, a Microsoft atualizou seu perfil do grupo documentando **destruicao massiva de dados Azure + extorsao via Teams** como modelo operacional evoluido. ## Visão Geral Storm-0501 e um grupo cibercriminoso com motivacao financeira, ativo desde 2021, que opera como **afiliado multi-RaaS** - tendo parceria confirmada com Sabbath, Hive, BlackCat (ALPHV), Hunters International, LockBit 3.0 e Embargo ransomware. O grupo se distingue por uma trajetoria de evolução técnica acelera: de operador simples de ransomware em 2021 para **especialista em comprometimento de ambientes hibridos cloud/on-prem** em 2024-2025. O salto mais significativo foi documentado pela Microsoft em setembro de 2024: Storm-0501 passou a usar **Microsoft Entra Connect Sync** (anteriormente Azure AD Connect) - o servidor que sincroniza identidades entre Active Directory local e Entra ID - como vetor de escalada privilegiada. Ao comprometer este servidor, o grupo obtem credenciais sincronizadas de ambos os ambientes simultaneamente, efetivamente controlando toda a infraestrutura de identidade da vitima. Em 2025, o grupo expandiu para **destruicao de dados em ambientes Azure + extorsao via Microsoft Teams**, contactando executivos diretamente via mensagens Teams de contas comprometidas para pressionar pagamento antes da públicacao de dados roubados. **MITRE ATT&CK:** [G1053](https://attack.mitre.org/groups/G1053/) ## Evolução do Modelo Operacional ```mermaid graph TB A["2021-2022 Sabbath RaaS Ransomware simples"] --> B["2022-2023 Multi-RaaS Hive / ALPHV / LockBit 3.0"] B --> C["Set 2024 - Pivot Cloud Entra Connect Sync abuse AD -> Entra ID hijack"] C --> D["2024 - Embargo RaaS Payload atual principal ESXi + Windows"] D --> E["2025 - Cloud Destruction Azure data deletion Teams extortion"] classDef phase1 fill:#1a5276,color:#fff,stroke:#154360 classDef phase2 fill:#8e44ad,color:#fff,stroke:#6c3483 classDef phase3 fill:#c0392b,color:#fff,stroke:#922b21 classDef phase4 fill:#e67e22,color:#fff,stroke:#d35400 classDef phase5 fill:#7b241c,color:#fff,stroke:#641e16 class A phase1 class B phase2 class C phase3 class D phase4 class E phase5 ``` ## Attack Flow - Comprometimento Hibrido Cloud (2024-2025) ```mermaid graph TB A["Acesso Inicial Vulnerabilidade VPN/app ou credenciais roubadas"] --> B["On-Prem Lateral Cobalt Strike + Evil-WinRM DCSync dump de credenciais"] B --> C["Entra Connect Pivot DSA account abusada sync AD -> Entra ID"] C --> D["Cloud Escalada AADInternals eleva para Global Admin"] D --> E["AzureHound Recon Mapeamento completo tenants / resources"] E --> F["Embargo Deploy Ransomware ESXi + Windows + destruicao Azure"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef onprem fill:#e67e22,color:#fff,stroke:#d35400 classDef pivot fill:#8e44ad,color:#fff,stroke:#6c3483 classDef cloud fill:#34495e,color:#fff,stroke:#2c3e50 classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef payload fill:#196f3d,color:#fff,stroke:#145a32 class A access class B onprem class C pivot class D cloud class E recon class F payload ``` ## Técnica Central - Abuso do Entra Connect Sync O Entra Connect Sync (ex-Azure AD Connect) e um servidor critico instalado em ambiente on-premises que sincroniza identidades e senhas com o Entra ID na nuvem. Storm-0501 abusa da conta **Directory Synchronization Account (DSA)** deste servidor para: 1. Obter hash NTLM da DSA via DCSync (T1003.006) 2. Usar a DSA para **resetar senha de qualquer conta Entra ID**, incluindo Global Admin 3. Criar **backdoor via federated domain** - dominio federado malicioso que permite autenticação sem senha para qualquer usuario 4. Usar [[s0677-aadinternals|AADInternals]] para escalada adicional e persistência cloud Esta técnica e devastadora porque: (a) a DSA raramente e monitorada como conta privilegiada, (b) o servidor Entra Connect geralmente tem menos controles que DCs tradicionais, e (c) a escalada para cloud ocorre sem tocar no Azure AD propriamente. ## Arsenal Tecnico - [[s0154-cobalt-strike|Cobalt Strike]] - C2 principal pos-intrusão - [[s0357-impacket|Impacket]] - movimentação lateral e credential dumping - [[evil-winrm|Evil-WinRM]] - lateral movement via WinRM (T1021.006) - [[s0677-aadinternals|AADInternals]] - manipulação de Entra ID / Azure AD - [[azurehound|AzureHound]] - reconhecimento de ambiente Azure - [[s1040-rclone|Rclone]] - exfiltração de dados para storage externo - [[s1247-embargo|Embargo]] - ransomware ESXi + Windows (payload final) ## Técnicas Utilizadas - [[t1219-002-remote-desktop-software|T1219.002 - Remote Desktop Software]] - [[t1537-transfer-data-to-cloud-account|T1537 - Transfer Data to Cloud Account]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - [[t1530-data-from-cloud-storage|T1530 - Data from Cloud Storage]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1087-004-cloud-account|T1087.004 - Cloud Account]] - [[t1003-006-dcsync|T1003.006 - DCSync]] - [[t1526-cloud-service-discovery|T1526 - Cloud Service Discovery]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1059-009-cloud-api|T1059.009 - Cloud API]] - [[t1021-007-cloud-services|T1021.007 - Cloud Services]] - [[t1021-006-windows-remote-management|T1021.006 - Windows Remote Management]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1657-financial-theft|T1657 - Financial Theft]] ## Software Utilizado - [[s0357-impacket|Impacket]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[s1247-embargo|Embargo]] - [[s1040-rclone|Rclone]] - [[s0677-aadinternals|AADInternals]] - [[evil-winrm|Evil-WinRM]] - [[azurehound|AzureHound]] ## Relevância para o Brasil e LATAM > [!danger] Ameaça Critica para Empresas Brasileiras com Azure Hibrido > Storm-0501 representa ameaça **extremamente relevante para o Brasil em 2025**. A técnica de abuso do Entra Connect Sync e especialmente perigosa para organizacoes brasileiras que migraram parcialmente para Azure - modelo hibrido adotado pela maioria das grandes empresas brasileiras (Itau, Bradesco, Petrobras, Embraer, Ambev, Vale). O vetor de ataque compromete simultaneamente o AD on-premises e o Entra ID cloud. Setores de risco elevado no Brasil: **saúde** (hospitais públicos e privados com Azure), **educação** (universidades com Microsoft 365), **governo federal e estadual** (Microsoft 365 Government). O modelo de **extorsao via Teams** e particularmente insidioso - mensagens chegam de contas legitimas de colegas ou executivos comprometidos, tornando a engenharia social extremamente convincente. **Recomendacoes imediatas:** - Auditar permissoes da conta DSA do Entra Connect e tratar como conta Tier 0 - Monitorar criação de dominios federados em Entra ID - Revisar logs de AADInternals e AzureHound no ambiente - Habilitar Privileged Identity Management (PIM) para contas Global Admin --- *Fontes: [Microsoft Storm-0501](https://www.microsoft.com/en-us/security/blog/2024/09/26/storm-0501-ransomware-attacks-expanding-to-hybrid-cloud-environments/) | [MITRE ATT&CK - G1053](https://attack.mitre.org/groups/G1053) | [Embargo Ransomware Analysis](https://www.secureworks.com/research/embargo-ransomware)*