Storm-0501 går från traditionell ransomware till molnbaserad utpressning 

Microsoft har varnat för att hotaktören Storm-0501 har utvecklat sina operationer och lämnat on-premise ransomware bakom sig för att i stället fokusera på molnbaserade attacker. I stället för att distribuera skadlig kod för att låsa filer, missbrukar gruppen nu inbyggda molnfunktioner för att stjäla data, radera säkerhetskopior och kryptera lagringskonton med kundhanterade nycklar. Offren pressas därefter att betala lösensummor för att återfå åtkomst. 

Storm-0501 har varit aktiv sedan 2021 och har tidigare använt ransomware-familjer som Sabbath, Hive och LockBit. Nya kampanjer visar dock på en inriktning mot Microsoft Entra ID-tenant och Azure-miljöer. Genom att utnyttja svaga Microsoft Defender-implementationer och komprometterade privilegierade konton fick angriparna administrativ kontroll, stängde av försvar och förstörde återställningsmöjligheter. 

Förändringen belyser en växande trend där utpressningsgrupper överger traditionell ransomware till förmån för mer svårupptäckta, molnnativa metoder. Microsoft har delat riktlinjer för upptäckt och betonat vikten av stark MFA och robusta molnförsvar. 

Första ai-drivna ransomwaren upptäckt: Promptlock 

ESET-forskare har upptäckt den första AI-drivna ransomware, kallad PromptLock, som använder OpenAI:s gpt-oss:20b-modell för att generera skadliga skript på begäran. Skriven i Golang ansluter skadlig koden via Ollama API och använder hårdkodade prompts för att dynamiskt skapa Lua-skript för filsystemsskanning, datastöld och kryptering. PromptLock använder särskilt det lätta SPECK 128-bitarschiffret, en svag algoritm som sällan används i ransomware, vilket tyder på att det fortfarande är ett proof-of-concept snarare än ett aktivt hot. 

ESET fann provet på VirusTotal och bekräftade att det inte har distribuerats i verkliga attacker. Ytterligare bevis, inklusive en Bitcoin-plånbok kopplad till Satoshi Nakamoto och frånvaron av datadestruktionsfunktion, stärker uppfattningen om att det är experimentellt. PromptLock är dock betydelsefullt eftersom det visar hur generativ AI kan användas som vapen i skadlig kod, med plattformsoberoende kapacitet och operativ flexibilitet. 

Upptäckten följer CERT Ukrainas rapport om LameHug, ett annat LLM-drivet verktyg tillskrivet APT28, vilket tyder på en framväxande trend. 

 Cyberattack mot miljödata stör 200 svenska kommuner 

En cyberattack mot den svenska IT-leverantören Miljödata har stört tjänster i över 200 kommuner och väckt oro för stöld av känsliga personuppgifter. Angriparna ska ha krävt en lösensumma på 1,5 Bitcoin (cirka 168 000 dollar) för att förhindra publicering av den stulna informationen. 

Miljödata, som tillhandahåller HR- och arbetsmiljösystem till cirka 80 % av Sveriges kommuner, stödjer kritiska funktioner som medicinska intyg, arbetsplatsolyckor och hantering av rehabiliteringsärenden. VD Erik Hallén bekräftade attacken den 25 augusti och uppgav att företaget samarbetar med externa experter för att utreda incidenten och återställa systemen. 

Flera regioner, inklusive Halland och Gotland, har varnat medborgarna för att känsliga uppgifter kan ha läckt. Sveriges minister för civilt försvar, Carl-Oskar Bohlin, meddelade att CERT-SE och polisen bedömer konsekvenserna. Inget ransomware-gäng har tagit på sig ansvaret, och Miljödatas webbplats och e-postservrar är fortfarande offline. 

 Shadowsilk riktar in sig på regeringar i centralasien och apac 

Forskare har kopplat en våg av cyberattacker mot statliga organisationer i Centralasien och Asien-Stillahavsregionen till en hotaktör kallad ShadowSilk. Nästan tre dussin offer har identifierats i Uzbekistan, Kirgizistan, Myanmar, Tadzjikistan, Pakistan och Turkmenistan, där intrången främst syftar till datastöld. 

ShadowSilk uppvisar starka likheter med tidigare spårade grupper som YoroTrooper, SturgeonPhisher och Silent Lynx. Analytiker föreslår att operationen drivs av ett tvåspråkigt team, med rysktalande utvecklare kopplade till YoroTroopers äldre kod och kinesisktalande operatörer som genomför aktiva intrång. 

Attackerna börjar vanligtvis med spjutfiske-mejl som innehåller lösenordsskyddade arkiv, vilket leder till skräddarsydda laddare som döljer C2-trafik bakom Telegram-botar. Gruppen utnyttjar kända sårbarheter i Drupal och WordPress-plugins och använder ett stort arsenal av verktyg, inklusive Cobalt Strike, Metasploit och anpassade lösenordsstjälande program. 

 NSA och NCSC kopplar salt typhoon-kampanjer till kinesiska företag 

USA:s NSA, Storbritanniens NCSC och cybersäkerhetsmyndigheter från 13 länder har tillskrivit de långvariga spionagekampanjerna Salt Typhoon till tre kinesiska teknikföretag: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology och Sichuan Zhixin Ruijie Network Technology. Enligt gemensamma varningar stödde företagen Kinas ministerium för statssäkerhet och Folkets befrielsearmé i cyberoperationer riktade mot regeringar, telekom, transporter och militära nätverk världen över. 

Salt Typhoon, som har varit aktivt sedan minst 2021, har utnyttjat välkända och redan patchade sårbarheter i Ivanti-, Palo Alto- och Cisco-enheter för att upprätthålla persistens och stjäla känslig data. I stället för att använda zero-days missbrukar gruppen opatchade edge-enheter, skapar tunnlar, samlar in autentiseringstrafik och distribuerar specialanpassade SFTP-verktyg byggda i Golang. 

NSA och NCSC varnar för att Salt Typhoon förblir mycket effektivt och uppmanar organisationer att prioritera patchning, begränsa hanteringstjänster, inaktivera äldre Cisco-funktioner och aktivt övervaka tecken på intrång. 

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.