קבוצת כופרה עברה לתקוף בענן

קבוצת התקיפה Storm-0501 ממשיכה לשדרג ולשכלל את המתקפות שלה, תוך מיקוד הולך וגובר בטקטיקות וטכניקות מתקפה מבוססות ענן. השינוי המשמעותי הוא המעבר מהפעלת כופרה על עמדות קצה מקומיות (On-Premise), מחשבים או שרתים – לשימוש בכופרה מבוססת ענן; כך לפי צוות מודיעין האיומים של מיקרוסופט (Microsoft Intelligence).

צוות מודיעין האיומים של הענקית מרדמונד, בהובלת צוות חוקרים ממרכז המחקר והפיתוח בישראל, חשף פרטים חדשים על קבוצת התקיפה. לפי החוקרים, בשונה מהמודל המסורתי, שבו תוקפים מטמיעים כופרה בעמדה מקומית כדי להצפין קבצים קריטיים (ולאחר מכן מנהלים משא ומתן על פתיחתם), כופרה מבוססת ענן מייצגת פרדיגמה חדשה: התוקפים משיגים גישה והרשאות לענן, כדי לשלוף במהירות כמויות עצומות של מידע, למחוק נתונים וגיבויים, ולדרוש על כך כופר. זאת, בלא שלארגון תהיה היכולת לשחזר את הקבצים או המשאבים הארגוניים שרצים על הענן.

The financially motivated threat actor Storm-0501 has continuously evolved to achieve sharpened focus on cloud-based TTPs as their primary objective shifted from deploying on-premises endpoint ransomware to using cloud-based ransomware tactics. https://t.co/RiAfOmd3UY…

— Microsoft Threat Intelligence (@MsftSecIntel) August 27, 2025

טקטיקות הפעולה ודרכי החדירה החדשות

החוקרים הסבירו כי התקיפות של Storm-0501 הן אופורטוניסטיות, כלומר, אינן ממוקדות במטרה ספציפית. כך, ב-2021 למשל, היא השתמשה בכופרה מסוג Sabbath נגד בתי ספר מחוזיים בארה"ב. בנובמבר 2023, היא כיוונה לארגונים ממגזר הבריאות. לאורך שנים, הקבוצה שינתה שוב ושוב את יעדי התקיפה שלה.

בספטמבר 2024, מיקרוסופט חשפה בניתוח כיצד Storm-0501 הרחיבה את פעילותה לסביבות ענן היברידיות. התוקפים השיגו דריסת רגל באמצעות פריצה למנהל המשתמשים ה-Active Directory, ומשם הצליחו להתקדם לתוך הענן ולהשיג הרשאות של זהויות בענן עד לרמה של אדמין גלובלי (Global Administrator). במהלך המתקפה זוהו שני דפוסי פעולה מרכזיים: האחד, הטמעת דלת אחורית (Backdoors) – ניצול ההרשאות הגבוהות להוספה של דומיינים מזויפים שבשליטת התוקפים כדומיינים שיש בהם אמון (Federated Domains). באמצעותם, התוקפים התחזו כמשתמשים חזקים בארגון, ויצרו אמצעי זיהוי מזויפים (Access Tokens), אשר נתפשו בעיני הנתקף כלגיטימיים. הדפוס השני שנתגלה הוא פריסה של כופרה בתחנות קצה ושרתי הארגון, כדי להצפינם ולדרוש בעבורם כופר.

Azure – במוקד ההכנסות של מיקרוסופט צילום: BigStock

התוקף עלול ויכול להצפין כל משאב קריטי שיש לארגון בענן

"קבוצת התקיפה ממשיכה להפגין מיומנות גבוהה בתמרון בין סביבות מקומיות לסביבות ענן – דוגמה מובהקת לאופן שבו שחקני איום מתאימים את עצמם למגמה הגוברת של מעבר לסביבות ענן היברידי", ציינו החוקרים. "התוקפים מחפשים מכשירים לא מנוהלים ונקודות תורפה בסביבות ענן היברידיות, כדי להתחמק מזיהוי, להשיג הרשאות גבוהות לסביבת הענן, ובמקרים מסוימים – אף לנוע בין סביבות הענן השונות של הלקוחות כדי להשיג מטרותיהם".

כך, החוקרים גילו תקיפה שביצעה Storm-0501 באחרונה על סביבת ענן שנפרצה בארגון גדול, המורכב מכמה חברות בת. "התוקפים הצליחו לשתול כופרה מבוססת ענן על ידי השגת הרשאות, ניצול פערים בניהול האבטחה וביצירת גישה הדרגתית מעמדות מקומיות (On-Prem) לענן", ציינו.

"היכולת להשיג גישה להרשאות ברמה מאוד גבוהה", הסבירו, "נובעת משליטה מלאה שהשיג התוקף ברשת התקשורת של הארגון, המאפשרת לו לנצל משאבים לוגיים בענן. כך למשל, הצליחו התוקפים להגיע דרך עמדה לוקאלית ולפגוע בשרת שמסנכרן את הזהויות בכל סביבות הענן בארגון".

חוקרי מיקרוסופט סיכמו: "מצב זה אפשר לתוקפים להשיג זהויות פגיעות המאפשרות גישה אדמיניסטרטיבית בענן. ברגע שהתוקף נמצא בענן, הוא עלול ויכול להצפין כל משאב קריטי שיש לארגון בענן: אחסון נתונים, מידע רגיש, שרתים וירטואליים ועוד – תוך שהגיבויים נמחקים ולא ניתן לשחזר אותם, מה שמאפשר לסחוט את הארגון. הבנה של דפוסי פעולה כאלה היא קריטית היום עבור ארגונים שפועלים בסביבות ענן".