¿Tus datos en la nube? Ya fueron robados. Y los hackers ni siquiera usaron virus

Según un informe de Microsoft Threat Intelligence, el grupo Storm-0501 ha cambiado su enfoque: de los habituales ataques de ransomware en redes locales ha pasado a tácticas centradas en servicios en la nube. En lugar de instalar programas cifradores en equipos y servidores, ahora aprovechan funciones nativas de las plataformas cloud para copiar rápidamente grandes volúmenes de información, borrar los originales junto con las copias de seguridad y exigir un rescate.

Esta agrupación no es nueva y se caracteriza por su capacidad de adaptación. En 2021 atacó distritos escolares en EE. UU. usando el malware Sabbath, en 2023 apuntó al sector sanitario y en 2024 utilizó la herramienta Embargo. En septiembre de ese mismo año, Microsoft describió cómo habían llegado a infraestructuras híbridas en la nube, comprometiendo Active Directory, escalando a Microsoft Entra ID y tomando el control de cuentas con privilegios de administrador global.

En la operación más reciente, la víctima fue una gran corporación con múltiples filiales. Cada sucursal tenía su propio dominio de Active Directory y un inquilino de Azure independiente, lo que dificultaba la defensa y generaba puntos ciegos por la implementación desigual de Microsoft Defender. Los atacantes aprovecharon esa fragmentación, se instalaron en entornos sin agentes de seguridad y usaron técnicas de movimiento lateral. Entre ellas, el uso de Evil-WinRM para ejecutar PowerShell de forma remota, ataques DCSync para robar hashes de contraseñas y comprobaciones de servicios de seguridad activos para evitar la detección.

Un paso clave fue explotar los servidores Entra Connect Sync. Con ellos, Storm-0501 obtuvo un mapa completo de los recursos en la nube y localizó una cuenta crítica sin autenticación multifactor, con privilegios de administrador global. Tras cambiar su contraseña en el dominio —lo que se sincronizó automáticamente con la nube— añadieron su propio método MFA y accedieron al portal de Azure con máximos permisos. Para asegurar el acceso, sumaron un dominio federado controlado mediante AADInternals, lo que les permitió iniciar sesión como cualquier usuario y generar tokens SAML.

Con el control de Azure, los atacantes se asignaron roles administrativos como User Access Administrator y Owner en todas las suscripciones. A partir de ahí, comenzaron tareas de reconocimiento usando AzureHound para cartografiar la infraestructura y detectar repositorios de copias de seguridad. Cuando los hallaban, abrían el acceso público y copiaban los contenidos con AzCopy, mientras robaban las claves a través de operaciones de gestión en Azure Storage.

El ataque culminó con la destrucción de la infraestructura de la empresa. Eliminaban masivamente snapshots de máquinas virtuales, puntos de restauración, contenedores de backup y cuentas de almacenamiento. Cuando las políticas de inmutabilidad o bloqueos de recursos lo impedían, intentaban desactivarlas; y si no lo lograban, pasaban al cifrado de datos mediante claves propias creadas en Azure Key Vault y aplicadas con encryption scopes. Tras concluir la operación, Storm-0501 contactó a la víctima a través de Microsoft Teams usando una cuenta comprometida para exigir el pago.

Microsoft señala que limitar los privilegios de las cuentas de sincronización de Entra Connect —medida introducida en mayo de 2025—, junto con nuevos métodos de autenticación, puede reducir de forma notable el riesgo de este tipo de intrusiones. La compañía aconseja habilitar MFA en todas las cuentas, especialmente en las administrativas, aplicar el principio de mínimos privilegios, proteger los servidores Entra Connect con módulos TPM y asegurar la cobertura completa de seguridad en los endpoints. En cuanto a los recursos en la nube, se recomienda activar monitorización, usar bloqueos e inmutabilidad en el almacenamiento y deshabilitar accesos anónimos. Estas prácticas en conjunto dificultan que una intrusión local escale a la nube y ayudan a prevenir la pérdida de información.