Storm-0501: Cuando el ransomware se traslada a la nube

Luca Galuppi : 28 agosto 2025 10:51

Microsoft da la voz de alarma: el grupo cibercriminal Storm-0501 ha evolucionado. Se acabaron los ataques «tradicionales» a equipos locales, se acabó el ransomware que cifra archivos locales. Ahora la amenaza se está desplazando directamente hacia la nube, donde muchas empresas creían estar a salvo.

Esta es una transición trascendental: los ejecutables maliciosos que infectan servidores y PC ya no son necesarios. Storm-0501 ahora aprovecha las mismas capacidades nativas de la nube para realizar su trabajo sucio. Hablamos de:

• Exfiltración masiva de datos directamente desde Azure.
• Destrucción de copias de seguridad e instantáneas para evitar cualquier intento de recuperación.
• Cifrado en la nube mediante la creación de nuevos almacenes de claves y claves administradas, lo que hace que los datos sean inaccesibles para las víctimas.

¿El resultado? Presión feroz, no a través del típico «descifrador de pago», sino mediante chantaje directo: o pagas, o tus datos en la nube desaparecen o permanecen cifrados para siempre.

La evolución del cibercrimen

Storm-0501 no es un nombre nuevo. Activo desde al menos 2021, ha sido utilizado por varios ecosistemas de RaaS (ransomware como servicio): Hive, BlackCat (ALPHV), Hunters International, LockBit, hasta el reciente embargo. Pero ahora la metamorfosis es completa: ya no se trata de ransomware tradicional, sino de extorsión digital 100 % nativa de la nube.

Los analistas de Microsoft han observado técnicas inquietantes:

• Cuentas de sincronización de directorios comprometidas para su desplazamiento lateral en entornos de Azure.
• Descubrimiento de cuentas de administrador global sin MFA, restablecidas para obtener el control total.
• Persistencia lograda con dominios federados maliciosos, capaces de suplantar usuarios y eludir la autenticación multifactor.
• Abuso de la API Microsoft.Authorization/elevateAccess/action para convertirse en propietario y tomar el control de toda la infraestructura en la nube.

Una vez en control, los delincuentes tienen vía libre: pueden desactivar las defensas, vaciar el almacenamiento, eliminar las bóvedas de Recovery Services o, cuando esto no sea posible, cifrar todo con las nuevas claves que administran.

Extorsión 2.0: La amenaza llega a través de Teams

Por si fuera poco, Storm-0501 ha encontrado un nuevo canal para comunicarse con las víctimas: Microsoft Teams. Utilizando cuentas comprometidas, los delincuentes envían sus peticiones de rescate directamente al chat, lo que hace que el ataque sea aún más desestabilizador.

Imagina: la plataforma de colaboración interna, donde los empleados intercambian archivos y mensajes de trabajo, se convierte de repente en un megáfono de chantaje. Un golpe a la confianza corporativa.

Conclusión

El ransomware no ha muerto. Simplemente ha subido de nivel.
La tormenta 0501 nos lo demuestra claramente: el malware ya no es necesario para hundir a una empresa; la nube, convertida en un arma contra nosotros, es suficiente.

¿Copias de seguridad? Eliminadas.
¿Datos? Cifrados con claves que no poseemos.
¿Comunicación interna? Se utiliza para enviar amenazas y chantaje.

Nos enfrentamos a un salto evolutivo que no deja lugar a la improvisación: quienes no mejoren sus defensas en la nube ahora se arriesgan a despertar mañana con su infraestructura y datos corporativos secuestrados por un clic.

Las empresas que creen estar seguras solo por haber migrado sus datos a Azure u otros proveedores de la nube se equivocan: la seguridad no se puede delegar, se construye día a día.

Luca Galuppi


Lista degli articoli
Visita il sito web dell'autore