Shock del sistema: el ransomware Storm-0501 se traslada a la nube

¿La buena noticia? En general, las tasas de ransomware han disminuido. En 2025, poco más del 60% de empresas informaron ataques de ransomware, el número más bajo desde 2020.

¿La no tan buena noticia? Los atacantes están cambiando de táctica. Como señaló un reciente análisis de Microsoft Security, el actor de amenaza Storm-0501 ha desplazado ahora el ransomware fuera de las instalaciones, poniendo en riesgo tanto los entornos híbridos como los basados en la nube. Esto es lo que necesitas saber.

Cómo: conceptos básicos del ataque Storm-0501

Las implementaciones tradicionales de ransomware ocurren en las instalaciones. Los atacantes comprometen redes locales y despliegan cargas útiles maliciosas. Una vez ejecutadas, estas cargas cifran archivos clave, y los hackers exigen un rescate por la clave de descifrado.

Hasta hace poco, Storm-0501 seguía este manual de carga útil, pero en 2024, el actor de la amenaza desplegó una nueva cepa de malware capaz de comprometer entornos en la nube. El ataque comienza con un punto de apoyo. Los atacantes comprometen los entornos de Active Directory y luego se trasladan a Microsoft Entra ID. A continuación, escalan privilegios para obtener control a nivel de administrador.

Esto les permite añadir dominios federados que permiten el acceso sin restricciones a la red, y también les permite desplegar ransomware en las instalaciones. El resultado es un golpe doble. Utilizando ransomware tradicional, los actores de amenazas pueden cifrar los datos en el sitio y exigir un pago para su liberación. Aprovechando el acceso completo a la nube, mientras tanto, pueden exfiltrar activos almacenados, eliminar copias de seguridad y retener datos para pedir un rescate.

Qué: Condiciones comunes para la vulneración

La clave del éxito de Storm-0501 radica en su doble enfoque de compromiso, que permite al actor de amenazas explotar el espacio entre los despliegues locales y basados en la nube.

En pocas palabras, los entornos híbridos son más complejos que sus contrapartes puramente locales. Para que las empresas aprovechen al máximo tanto los recursos en la nube como los locales, necesitan puentes digitales que conecten recursos, servicios y aplicaciones dispares. Es esta área gris digital la que crea problemas potenciales.

Considere el análisis de Microsoft sobre un ataque utilizando Storm-0501. La empresa objetivo operaba múltiples filiales, cada una con su propio conjunto de inquilinos de nube Azure distintos pero interconectados. Cada uno de estos inquilinos tenía una postura de seguridad diferente, y solo uno utilizaba Microsoft Defender for Endpoint. Además, la investigación de Microsoft encontró que múltiples dominios de Active Directory estaban sincronizados con más de un inquilino, lo que dificultaba a los equipos de TI gestionar y monitorear estas instancias en la nube.

El ataque comenzó con múltiples compromisos de sistemas locales. Luego, los actores de la amenaza utilizaron comandos como "sc query sense" y "sc query windefend" para verificar si Defender for Endpoint estaba activo. Si lo estaba, usaron una herramienta de PowerShell sobre Windows Remote Management (WinRM) conocida como Evil-WinRM para moverse lateralmente. Una vez que identificaron sistemas sin defensa activa, desplegaron un ataque DCSync para simular un controlador de dominio y solicitar hashes de contraseñas para todos los usuarios activos. Esto permitió un acceso casi completo a los inquilinos en la nube y a todos los datos que almacenaban, lo que a su vez habilitó la exfiltración y el cifrado.

Con este proceso completo, los atacantes utilizaron una cuenta de Teams perteneciente a una de las identidades comprometidas de la empresa para contactar a los ejecutivos y exigir un rescate.

Dónde: Áreas para una mayor protección

Según Sherrod DeGrippo, directora de inteligencia de amenazas de Microsoft, Storm-0501 representa un riesgo significativo . "Este actor de amenazas tiene una rápida adaptación y un enfoque de objetivos independiente del sector", dice ella. "Storm-0501 ha demostrado la capacidad de cambiar rápidamente de tácticas y apuntar a una amplia gama de sectores, lo que significa que cualquier organización que use servicios en la nube podría ser un objetivo."

Para las empresas, el cambio hacia el compromiso con la nube destaca la necesidad de una protección mejorada en tres áreas clave:

Detección

Cuanto antes puedan detectar las empresas un posible compromiso, mejor preparadas estarán para eliminar problemas y remediar impactos. En la práctica, esto requiere soluciones como detección y respuesta de endpoints (EDR) que van más allá de los marcos de trabajo de antivirus estándar para bloquear amenazas basadas en reglas de comportamiento personalizadas o condiciones operativas.

Acceso

No importa el tipo ni el objetivo del ransomware, las empresas siempre se benefician del principio de privilegios mínimos. Cuantas menos personas tengan acceso a funciones administrativas, mejor.

Esto comienza con soluciones como la autenticación multifactor (MFA). Al garantizar que los usuarios deben proporcionar algo que tienen o algo que son, además de algo que saben, las empresas pueden reducir el riesgo de compromiso. A continuación, están las políticas de acceso condicional. En lugar de adoptar un enfoque de una sola vez, las políticas de acceso condicional evalúan múltiples factores cada vez que los usuarios intentan iniciar sesión. Por ejemplo, si un usuario intenta iniciar sesión fuera de su horario normal de acceso y desde una nueva ubicación, el acceso condicional puede solicitar una verificación adicional. 

Y estos beneficios no son solo teóricos: según el análisis de Microsoft, el primer intento de los atacantes de iniciar sesión como usuarios privilegiados en inquilinos híbridos comprometidos fue infructuoso debido a MFA y al acceso condicional, obligándolos a cambiar de dominio e intentarlo de nuevo.

Almacenamiento

Los esfuerzos exitosos de ransomware dependen de comprometer el almacenamiento a través de cifrado, exfiltración o eliminación. Como resultado, los procesos mejorados de almacenamiento de datos pueden ayudar a frustrar los esfuerzos de los atacantes. Un ejemplo es el almacenamiento inmutable, tanto para los datos almacenados en la nube como para copias de seguridad de datos. El concepto detrás del almacenamiento inmutable es simple: no se puede cambiar. Las empresas establecen sus políticas preferidas, como escribir una vez, leer muchas (WORM), y pueden estar más tranquilas sabiendo que los datos no son modificables. Este tipo de almacenamiento es especialmente útil para las copias de seguridad. Incluso si los atacantes logran comprometer y eliminar activos clave, las empresas pueden recuperar y repoblar datos no corruptos una vez que las amenazas están confinadas y eliminadas.

Capear el temporal

A medida que la seguridad en el sitio mejora, los atacantes están buscando en las nubes híbridas nuevas vías de compromiso. Para muchas empresas, la naturaleza multidominio y multiinquilino de sus entornos en la nube las hace susceptibles a estos ataques, especialmente si las prácticas de seguridad no son coherentes en las redes subsidiarias.

Superar con éxito la tormenta significa adoptar un enfoque de protección de tres frentes que prioriza la detección, limita el acceso y ofrece un camino para la restauración completa de los datos.