Red Hot Cyber
La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar
Banner Ancharia Mobile 1
UtiliaCS 970x120
Storm-0501: Cuando el ransomware se traslada a la nube

Storm-0501: Cuando el ransomware se traslada a la nube

Luca Galuppi : 28 agosto 2025 10:51

Microsoft da la voz de alarma: el grupo cibercriminal Storm-0501 ha evolucionado. Se acabaron los ataques «tradicionales» a equipos locales, se acabó el ransomware que cifra archivos locales. Ahora la amenaza se está desplazando directamente hacia la nube, donde muchas empresas creían estar a salvo.

Esta es una transición trascendental: los ejecutables maliciosos que infectan servidores y PC ya no son necesarios. Storm-0501 ahora aprovecha las mismas capacidades nativas de la nube para realizar su trabajo sucio. Hablamos de:

  • Exfiltración masiva de datos directamente desde Azure.
  • Destrucción de copias de seguridad e instantáneas para evitar cualquier intento de recuperación.
  • Cifrado en la nube mediante la creación de nuevos almacenes de claves y claves administradas, lo que hace que los datos sean inaccesibles para las víctimas.

¿El resultado? Presión feroz, no a través del típico «descifrador de pago», sino mediante chantaje directo: o pagas, o tus datos en la nube desaparecen o permanecen cifrados para siempre.

La evolución del cibercrimen

Storm-0501 no es un nombre nuevo. Activo desde al menos 2021, ha sido utilizado por varios ecosistemas de RaaS (ransomware como servicio): Hive, BlackCat (ALPHV), Hunters International, LockBit, hasta el reciente embargo. Pero ahora la metamorfosis es completa: ya no se trata de ransomware tradicional, sino de extorsión digital 100 % nativa de la nube.

Los analistas de Microsoft han observado técnicas inquietantes:

  • Cuentas de sincronización de directorios comprometidas para su desplazamiento lateral en entornos de Azure.
  • Descubrimiento de cuentas de administrador global sin MFA, restablecidas para obtener el control total.
  • Persistencia lograda con dominios federados maliciosos, capaces de suplantar usuarios y eludir la autenticación multifactor.
  • Abuso de la API Microsoft.Authorization/elevateAccess/action para convertirse en propietario y tomar el control de toda la infraestructura en la nube.

Una vez en control, los delincuentes tienen vía libre: pueden desactivar las defensas, vaciar el almacenamiento, eliminar las bóvedas de Recovery Services o, cuando esto no sea posible, cifrar todo con las nuevas claves que administran.

Extorsión 2.0: La amenaza llega a través de Teams

Por si fuera poco, Storm-0501 ha encontrado un nuevo canal para comunicarse con las víctimas: Microsoft Teams. Utilizando cuentas comprometidas, los delincuentes envían sus peticiones de rescate directamente al chat, lo que hace que el ataque sea aún más desestabilizador.

Imagina: la plataforma de colaboración interna, donde los empleados intercambian archivos y mensajes de trabajo, se convierte de repente en un megáfono de chantaje. Un golpe a la confianza corporativa.

Conclusión

El ransomware no ha muerto. Simplemente ha subido de nivel.
La tormenta 0501 nos lo demuestra claramente: el malware ya no es necesario para hundir a una empresa; la nube, convertida en un arma contra nosotros, es suficiente.

¿Copias de seguridad? Eliminadas.
¿Datos? Cifrados con claves que no poseemos.
¿Comunicación interna? Se utiliza para enviar amenazas y chantaje.

Nos enfrentamos a un salto evolutivo que no deja lugar a la improvisación: quienes no mejoren sus defensas en la nube ahora se arriesgan a despertar mañana con su infraestructura y datos corporativos secuestrados por un clic.

Las empresas que creen estar seguras solo por haber migrado sus datos a Azure u otros proveedores de la nube se equivocan: la seguridad no se puede delegar, se construye día a día.

Artículos destacados

Immagine del sito
ChatGPT Atlas: Investigadores descubren cómo un enlace puede conducir a un jailbreak
Di Redazione RHC - 29/10/2025

Investigadores de NeuralTrust han descubierto una vulnerabilidad en el navegador ChatGPT Atlas de OpenAI. En esta ocasión, el vector de ataque se encuentra en la barra de direcciones, donde los usuar...

Immagine del sito
China promueve la gobernanza global de la IA en el marco de las Naciones Unidas
Di Redazione RHC - 27/10/2025

El 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...

Immagine del sito
Hackers atacan instalaciones de producción de armas nucleares de EE. UU
Di Redazione RHC - 27/10/2025

Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...

Immagine del sito
Gemini 3.0 Pro: Google se prepara para el salto generacional y pretende superar a GPT-5 y Claude 4.5
Di Redazione RHC - 25/10/2025

En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...

Immagine del sito
Explosión crítica de RCE en Microsoft WSUS explotada activamente. CISA advierte: riesgo inminente.
Di Redazione RHC - 25/10/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...