Die gute Nachricht? Insgesamt sind die Ransomware-Raten rückläufig. Im Jahr 2025 meldeten etwas mehr als 60 % der Unternehmen Ransomware-Angriffe, die niedrigste Zahl seit 2020.
Die nicht so gute Nachricht? Angreifer ändern ihre Taktiken. Wie in einer aktuellen Microsoft Security-Analyse festgestellt wurde, hat der Bedrohungsakteur Storm-0501 nun Ransomware von vor Ort in die Cloud verlagert, wodurch sowohl hybride als auch Cloud-Umgebungen gefährdet sind. Das müssen Sie wissen.
Wie: Grundlagen des Storm-0501-Angriffs
Herkömmliche Ransomware-Bereitstellungen erfolgen vor Ort. Angreifer kompromittieren lokale Netzwerke und setzen bösartige Payloads ein. Nach der Ausführung verschlüsseln die Payloads wichtige Dateien, und Hacker verlangen ein Lösegeld für den Entschlüsselungscode.
Bis vor Kurzem folgte Storm-0501 diesem Payload-Playbook, doch im Jahr 2024 setzte der Bedrohungsakteur einen neuen Malware-Stamm ein, der in der Lage ist, Cloud-Umgebungen zu kompromittieren. Der Angriff beginnt mit einem Fuß in der Tür. Cyberangreifer kompromittieren Active Directory-Umgebungen und bewegen sich dann zu Microsoft Entra ID. Anschließend eskalieren sie die Berechtigungen, um die Kontrolle auf Administrator-Ebene zu erlangen.
Dies ermöglicht es ihnen, föderierte Domänen hinzuzufügen, die uneingeschränkten Netzwerkzugriff gewähren, und sie können auch vor Ort Ransomware implementieren. Das Ergebnis ist ein Doppelschlag. Mit traditioneller Ransomware können Bedrohungsakteure vor Ort gespeicherte Daten verschlüsseln und eine Zahlung für deren Freigabe verlangen. Durch den vollständigen Zugriff auf die Cloud können sie gespeicherte Assets exfiltrieren, Backups löschen und Daten als Pfand einbehalten.
Was: Häufige Bedingungen für Kompromittierungen
Der Schlüssel zum Erfolg von Storm-0501 liegt in seinem dualen Ansatz zur Kompromittierung, der es dem Bedrohungsakteur ermöglicht, den Raum zwischen lokalen und Cloud-basierten Bereitstellungen auszunutzen.
Einfach ausgedrückt: Hybride Umgebungen sind komplexer als ihre rein lokalen Pendants. Damit Unternehmen sowohl die Cloud- als auch die lokalen Ressourcen optimal nutzen können, benötigen sie digitale Brücken, die separate Ressourcen, Dienste und Anwendungen miteinander verbinden. Es ist diese digitale Grauzone, die potenzielle Probleme schafft.
Betrachten Sie die Analyse von Microsoft eines Angriffs mit Storm-0501. Das betroffene Unternehmen betrieb mehrere Niederlassungen, von denen jede über ein eigenes Set von verschiedenen, aber miteinander verbundenen Azure-Cloud-Mandanten verfügte. Jeder dieser Mandanten hatte eine andere Sicherheitslage und nur einer verwendete Microsoft Defender for Endpoint. Darüber hinaus ergab die Untersuchung von Microsoft, dass mehrere Active Directory-Domänen mit mehr als einem Tenant synchronisiert wurden, was es den IT-Teams erschwerte, diese Cloud-Instanzen zu verwalten und zu überwachen.
Der Angriff begann mit der Kompromittierung mehrerer On-Premises-Systeme. Bedrohungsakteure verwendeten dann Befehle wie „sc query sense“ und „sc query windefend“, um zu überprüfen, ob Defender for Endpoint aktiv war. Wenn ja, verwendeten sie ein Tool namens Evil-WinRM, das über Windows Remote Management (WinRM) funktioniert, um lateral zu navigieren. Sobald sie Systeme ohne aktive Verteidigung identifizierten, führten sie einen DCSync-Angriff durch, um einen Domänencontroller zu simulieren und Passwort-Hashes für alle aktiven Nutzer anzufordern. Dies erlaubte nahezu vollständigen Zugriff auf Cloud-Mandanten und alle von ihnen gespeicherten Daten, was wiederum die Exfiltration und Verschlüsselung ermöglichte.
Nachdem dieser Vorgang abgeschlossen war, nutzten die Angreifer ein Teams-Konto, das zu einer der kompromittierten Identitäten des Unternehmens gehörte, um Führungskräfte zu kontaktieren und ein Lösegeld zu fordern.
Wo: Bereiche mit erhöhtem Schutz
Laut Sherrod DeGrippo, Direktorin für Bedrohungsintelligenz bei Microsoft, stellt Storm-0501 ein erhebliches Risiko dar. „Dieser Bedrohungsakteur hat eine schnelle Anpassungsfähigkeit und eine branchenunabhängige Zielausrichtung“, berichtet sie. „Storm-0501 hat die Fähigkeit bewiesen, seine Taktik schnell zu ändern und ein breites Spektrum an Sektoren ins Visier zu nehmen. Das bedeutet, dass jede Organisation, die Cloud-Dienste nutzt, zum Ziel werden könnte.“
Für Unternehmen bedeutet der Übergang zu Cloud-Kompromittierung, dass sie in drei zentralen Bereichen einen besseren Schutz benötigen:
Erkennung
Je früher Unternehmen potenzielle Kompromittierungen erkennen können, desto besser sind sie vorbereitet, um Probleme zu beheben und Auswirkungen zu mindern. In der Praxis erfordert dies Lösungen wie Endpoint Detection and Response (EDR), die über standardmäßige Antivirus-Frameworks hinausgehen, um Bedrohungen basierend auf maßgeschneiderten Verhaltensregeln oder Betriebsbedingungen zu blockieren.
Zugriff
Unabhängig von der Art oder dem Ziel der Ransomware profitieren Unternehmen immer vom Prinzip der geringsten Berechtigung. Je weniger Personen Zugriff auf administrative Funktionen haben, desto besser.
Dies beginnt mit Lösungen wie der Multi-Faktor-Authentifizierung (MFA). Indem sichergestellt wird, dass Benutzer zusätzlich zu etwas, das sie wissen, auch etwas besitzen oder etwas sind, kann das Risiko einer Kompromittierung verringert werden. Darauf folgen Richtlinien für den bedingten Zugriff. Anstatt einen einmaligen Ansatz zu verfolgen, werten Richtlinien für den bedingten Zugriff jedes Mal mehrere Faktoren aus, wenn Nutzer versuchen, sich anzumelden. Wenn ein Nutzer beispielsweise versucht, sich außerhalb seines normalen Zugriffszeitraums und von einem neuen Standort aus anzumelden, können die Richtlinien für den bedingten Zugriff eine zusätzliche Überprüfung erfordern.
Und diese Vorteile sind nicht nur theoretisch – laut der Microsoft-Analyse war der erste Versuch von Angreifern, sich als privilegierte Nutzer bei kompromittierten hybriden Mandanten anzumelden, aufgrund von MFA und bedingtem Zugriff erfolglos, was sie dazu zwang, die Domänen zu wechseln und es erneut zu versuchen.
Lagerung
Erfolgreiche Ransomware-Bemühungen hängen davon ab, den Speicher durch Verschlüsselung, Exfiltration oder Löschung zu kompromittieren. Daher können verbesserte Datenspeicherprozesse dazu beitragen, die Bemühungen von Angreifern zu vereiteln. Ein Beispiel dafür ist unveränderlicher Speicher, sowohl für in der Cloud gespeicherte Daten als auch für Daten-Backups. Das Konzept des unveränderlichen Speichers ist einfach: Er kann nicht geändert werden. Unternehmen legen ihre bevorzugten Richtlinien fest, wie z.B. Write Once, Read Many (WORM), und können sich beruhigt zurücklehnen, da sie wissen, dass die Daten nicht veränderbar sind. Diese Art von Speicher ist besonders nützlich für Backups. Selbst wenn es Angreifern gelingt, wichtige Ressourcen zu kompromittieren und zu löschen, können Unternehmen unversehrte Daten abrufen und erneut mit Daten füllen, sobald die Bedrohungen eingegrenzt und beseitigt sind.
Den Sturm überstehen
Da sich die Security vor Ort verbessert, suchen Angreifer in hybriden Clouds nach neuen Angriffswegen. Viele Unternehmen sind aufgrund der Multi-Domain- und Multi-Mandanten-Natur ihrer Cloud-Umgebungen anfällig für diese Angriffe, insbesondere wenn die Sicherheitspraktiken in den Tochternetzwerken nicht konsistent sind.
Um den Sturm erfolgreich zu überstehen, ist ein dreigleisiger Ansatz zum Schutz erforderlich, der die Erkennung priorisiert, den Zugang einschränkt und einen Weg für die vollständige Datenrestaurierung bietet.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
