无恶意软件勒索：详解威胁组织Storm-0501如何转向云原生攻击

主要观点总结

微软威胁情报部门报告指出，以经济利益为目的的威胁组织Storm-0501已将勒索软件攻击模式转向云原生攻击。该组织利用云原生工具的规模和速度优势，对传统终端加密方式进行突破，快速窃取和破坏数据，并实施勒索。其攻击链包括本地立足、转向云端、建立持久化机制和影响阶段。Storm-0501还滥用合法Azure操作和利用身份管理漏洞，无需恶意软件即可造成毁灭性后果。

关键观点总结

关键观点1: 攻击模式转型

Storm-0501将攻击模式从传统本地部署系统转向云原生攻击，利用云原生工具的规模和速度优势。

关键观点2: 攻击链分析

微软追踪了Storm-0501针对一家跨国企业的完整攻击链，包括本地立足、转向云端、建立持久化机制和影响阶段。

关键观点3: 云勒索新特征

Storm-0501在勒索阶段通过Microsoft Teams以被入侵用户身份直接联系受害者。云特性与能力使威胁行为者能够快速外泄和传输大量数据，破坏受害者云环境中的数据和备份资源。

关键观点4: 组织目标和策略

Storm-0501的攻击目标包括学区系统、医疗行业和Azure订阅等。该组织持续优化攻击活动，聚焦于基于云的战术、技术和程序(TTPs)。