Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Storm-0501: Cuando el ransomware se traslada a la nube

Storm-0501: Cuando el ransomware se traslada a la nube

Luca Galuppi : 28 agosto 2025 10:51

Microsoft da la voz de alarma: el grupo cibercriminal Storm-0501 ha evolucionado. Se acabaron los ataques «tradicionales» a equipos locales, se acabó el ransomware que cifra archivos locales. Ahora la amenaza se está desplazando directamente hacia la nube, donde muchas empresas creían estar a salvo.

Esta es una transición trascendental: los ejecutables maliciosos que infectan servidores y PC ya no son necesarios. Storm-0501 ahora aprovecha las mismas capacidades nativas de la nube para realizar su trabajo sucio. Hablamos de:

  • Exfiltración masiva de datos directamente desde Azure.
  • Destrucción de copias de seguridad e instantáneas para evitar cualquier intento de recuperación.
  • Cifrado en la nube mediante la creación de nuevos almacenes de claves y claves administradas, lo que hace que los datos sean inaccesibles para las víctimas.

¿El resultado? Presión feroz, no a través del típico «descifrador de pago», sino mediante chantaje directo: o pagas, o tus datos en la nube desaparecen o permanecen cifrados para siempre.

La evolución del cibercrimen

Storm-0501 no es un nombre nuevo. Activo desde al menos 2021, ha sido utilizado por varios ecosistemas de RaaS (ransomware como servicio): Hive, BlackCat (ALPHV), Hunters International, LockBit, hasta el reciente embargo. Pero ahora la metamorfosis es completa: ya no se trata de ransomware tradicional, sino de extorsión digital 100 % nativa de la nube.

Los analistas de Microsoft han observado técnicas inquietantes:

  • Cuentas de sincronización de directorios comprometidas para su desplazamiento lateral en entornos de Azure.
  • Descubrimiento de cuentas de administrador global sin MFA, restablecidas para obtener el control total.
  • Persistencia lograda con dominios federados maliciosos, capaces de suplantar usuarios y eludir la autenticación multifactor.
  • Abuso de la API Microsoft.Authorization/elevateAccess/action para convertirse en propietario y tomar el control de toda la infraestructura en la nube.

Una vez en control, los delincuentes tienen vía libre: pueden desactivar las defensas, vaciar el almacenamiento, eliminar las bóvedas de Recovery Services o, cuando esto no sea posible, cifrar todo con las nuevas claves que administran.

Extorsión 2.0: La amenaza llega a través de Teams

Por si fuera poco, Storm-0501 ha encontrado un nuevo canal para comunicarse con las víctimas: Microsoft Teams. Utilizando cuentas comprometidas, los delincuentes envían sus peticiones de rescate directamente al chat, lo que hace que el ataque sea aún más desestabilizador.

Imagina: la plataforma de colaboración interna, donde los empleados intercambian archivos y mensajes de trabajo, se convierte de repente en un megáfono de chantaje. Un golpe a la confianza corporativa.

Conclusión

El ransomware no ha muerto. Simplemente ha subido de nivel.
La tormenta 0501 nos lo demuestra claramente: el malware ya no es necesario para hundir a una empresa; la nube, convertida en un arma contra nosotros, es suficiente.

¿Copias de seguridad? Eliminadas.
¿Datos? Cifrados con claves que no poseemos.
¿Comunicación interna? Se utiliza para enviar amenazas y chantaje.

Nos enfrentamos a un salto evolutivo que no deja lugar a la improvisación: quienes no mejoren sus defensas en la nube ahora se arriesgan a despertar mañana con su infraestructura y datos corporativos secuestrados por un clic.

Las empresas que creen estar seguras solo por haber migrado sus datos a Azure u otros proveedores de la nube se equivocan: la seguridad no se puede delegar, se construye día a día.

Artículos destacados

¡Ya llegó Google CodeMender! Cuando la IA encuentra errores en el código y los corrige ella misma.
Di Redazione RHC - 07/10/2025

Sería fantástico contar con un agente de IA capaz de analizar automáticamente el código de nuestros proyectos, identificar errores de seguridad, generar correcciones y lanzarlos inmediatamente a p...

RediShell: un RCE de 13 años con una puntuación de 10 se ha actualizado a Redis
Di Redazione RHC - 07/10/2025

Una falla crítica de 13 años de antigüedad, conocida como RediShell , en Redis permite la ejecución remota de código (RCE) , lo que brinda a los atacantes la capacidad de obtener control total de...

¡Italia forma parte del mundo Zero Day! ¡Los primeros auxiliares de enfermería italianos son Leonardo y Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se ha dicho muy poco sobre este acontecimiento, que personalmente considero de importancia estratégica y signo de un cambio importante en la gestión de las vulnerabilidades indocumentadas en Italia....

Alerta de WhatsApp: Nuevo malware se propaga como un virus entre los contactos
Di Redazione RHC - 06/10/2025

Investigadores de Trend Micro han detectado una campaña de malware a gran escala dirigida a usuarios de Brasil. Se distribuye a través de la versión de escritorio de WhatsApp y se caracteriza por u...

Vulnerabilidad de Oracle E-Business Suite 9.8: se necesitan actualizaciones urgentes
Di Redazione RHC - 05/10/2025

Oracle ha publicado un aviso de seguridad sobre una vulnerabilidad crítica identificada como CVE-2025-61882 en Oracle E-Business Suite . Esta falla puede explotarse remotamente sin autenticación , l...