Storm-0501 是一個從 2021 年起活躍的駭客集團,最早透過傳統勒索軟體加密受害者電腦中的檔案來索取贖金,但近期他們已經把目標轉向雲端,利用雲端本身的功能來達成同樣的目的。這意味著他們不再需要部署惡意程式,只要奪取雲端管理員的身分,就能直接刪除備份、外洩資料,讓受害者陷入無法復原的困境。
他們的攻擊流程通常先從滲透 Active Directory 開始,逐步取得更高層級的權限,接著利用同步帳號進入 Azure 或 Entra ID,趁缺乏多重驗證的弱點重設密碼並接管全域管理員。為了確保長期存取,他們還會建立惡意的「聯盟域」,以此繞過正常的驗證機制,隨時都能進入受害者的雲端環境。
當掌控權力到手後,他們會快速外洩敏感資料並刪除或公開儲存帳戶,連備份也一併清除,最後再透過受害者自己的 Teams 帳號或其他管道發出勒索要求。這種模式比傳統勒索更有效率,也更難偵測。對企業來說,這代表單靠傳統防禦已不足以應對,必須強化雲端帳號的安全措施,例如啟用多重驗證、加強監控以及確保備份不會被輕易刪除。
資安建議 :
1. 加強雲端環境的安全監控
Guardz 包含多種安全模組,如:
– ITDR(身份威脅偵測與回應)
– 雲端資料保護及 DLP(資料外洩防護)
– 掃描外部攻擊面與洩露憑證
2. 強化身分驗證與權限管理
使用segura
特權帳號集中管控與隱匿:管理員憑證不會直接暴露在 AD 或伺服器上,而是由 segura 的安全金庫動態發放與回收,駭客即使滲透 AD 也難以直接取得密碼。
憑證與密碼集中保管:所有特權帳號的密碼、金鑰不會散落在伺服器或同步帳號上,而是放在加密保護的保管庫(vault)裡,駭客即使滲透進去,也不容易直接抓到明文憑證。
3. 備份與資料保護
Keepit雲端 SaaS 備份與資料保護平台
不可變(Immutable)備份
Keepit 的備份存放在自家獨立的雲基礎設施中,不依附於 Microsoft 365、Google Workspace、Salesforce 等原服務,因此駭客即使拿到雲端管理員帳號,也無法刪除或修改這些備份。
抗勒索與資料外洩勒索
即便攻擊者像 Storm-0501 那樣刪掉雲端儲存帳戶或備份,Keepit 的獨立平台仍能還原,避免企業完全被勒索綁架。