A Microsoft divulgou detalhes sobre a atividade recente do grupo de ciberameaças Storm‑0501, que está utilizando uma abordagem sofisticada para comprometer ambientes híbridos, explorando falhas no Microsoft Entra ID para obter controle total sobre recursos locais e em nuvem. A operação começa com o comprometimento de servidores Active Directory e do componente Entra Connect Sync, usado para sincronizar identidades entre ambientes locais e o Azure.
Com isso, os invasores assumem contas privilegiadas, muitas vezes sem proteção por autenticação multifator. Uma vez com acesso às contas de administrador global, os criminosos manipulam o processo de sincronização para redefinir senhas locais. Essas alterações são propagadas automaticamente para a nuvem, criando um backdoor confiável com permissões completas em serviços da Microsoft. Após o domínio do ambiente, o grupo exfiltra dados confidenciais, exclui recursos críticos do Azure e inicia extorsão baseada em destruição. Em alguns casos, também utilizaram contas comprometidas do Microsoft Teams para manter persistência e enganar usuários internos. A campanha representa uma mudança na atuação do Storm‑0501, que antes usava técnicas mais tradicionais de ransomware.
Agora, a estratégia envolve ataques diretos à identidade e ao controle de nuvem, o que dificulta a resposta e amplia o impacto. A Microsoft recomenda a atualização do Entra Connect para a versão 2.5.3.0, que oferece suporte à autenticação moderna. Além disso, sugere proteger as credenciais com TPM (Trusted Platform Module) para evitar que sejam extraídas localmente. A empresa também destaca a importância de segmentar ambientes locais e de nuvem, auditar contas com privilégios elevados, implementar autenticação multifator e aplicar políticas de acesso condicional em todo o ecossistema.
