All blogs
Cyber Security
6
min read

Storm 0501: Et wakeup-call for cloud-sikkerhed

En ny bølge af cloud-ransomware-angreb viser, hvordan cyberkriminelle stjæler og sletter data fra Microsoft Entra ID-miljøer, før de kræver løsepenge. Grupper som Storm-0501 viser, hvor hurtigt disse metoder udvikler sig. Dette blogindlæg forklarer, hvordan angrebene foregår, hvorfor traditionelle forsvarsmekanismer ikke er tilstrækkelige, og hvilke handlinger din organisation bør tage for at forblive sikker.
Published on
September 11, 2025

En nylig bølge af angreb har afsløret, hvor sårbare cloud-miljøer reelt er. En gruppe cyberkriminelle, tidligere kendt for ransomware-angreb mod on-premise-netværk, har nu flyttet fokus fuldt ud til skyen. Deres metode er systematisk: først eksfiltrerer de alle filer fra cloudmiljøet, derefter sletter de data og backups. Først herefter fremsættes et krav om løsepenge for at få data tilbage.

For at opnå adgang opretter angriberne et falsk domæne i Microsoft Entra ID, hvilket giver dem mulighed for at logge ind som stort set enhver bruger. Når de først er inde, kortlægger de omhyggeligt følsomme datalagre og backupplaceringer, såsom Azure Blob Storage. Efter at have downloadet data sletter de al lagring og backup. Hvis visse ressourcer er beskyttet, skifter de strategi og krypterer filerne – og forsøger at slette tilhørende nøgler. I enkelte tilfælde forhindrer immutability-indstillinger og “soft delete”-politikker dette – men skaderne er typisk alvorlige.

Hvordan fungerer denne form for cloud-ransomware?

Denne gruppes metoder adskiller sig markant fra klassisk ransomware:

  • Skift til cloud-angreb: I stedet for at kryptere endpoints eksfiltrerer angriberne store datamængder og destruerer backups. Der bruges ikke traditionel malware – presset består i det tilsyneladende uoprettelige datatab.
  • Bagdør via federeret domæne: Ved at tilføje et ondsindet domæne i Entra ID og benytte selvsignerede certifikater, kan angriberne udstede SAML-tokens og udgive sig for næsten enhver bruger.
  • Misbrug af privilegier: Efter login tildeler angriberne sig selv rollen “User Access Administrator” via en enkelt API-kald, og promoverer derefter sig selv til “Owner” på alle Azure-abonnementer – hvilket giver fuld adgang.
  • Masse-sletning og kryptering: Når data er kopieret, bruger angriberne standard Azure-API’er til at slette snapshots, restore points og hele storage-konti. Eventuelle beskyttelser fjernes først. Til sidst oprettes en ny Key Vault med en angriberstyret krypteringsnøgle til at kryptere resterende data.

Det kræver kun én ubeskyttet konto eller overset server for at sætte hele angrebskæden i gang. Kombinationen af dyb cloud-ekspertise og misbrug af legitime funktioner gør angrebene svære at opdage.

Centrale anbefalinger til cloud-sikkerhed

Denne udvikling kræver en flerlaget tilgang. DataExpert anbefaler følgende:

  • Gennemtving Multi-Factor Authentication (MFA): MFA skal være obligatorisk for alle konti og administratorportaler. I de analyserede hændelser var én konto uden MFA nok til eskalering.
  • Løbende patching og opdatering: Hold operativsystemer, VPN-løsninger og cloudkomponenter opdaterede for at lukke kendte sårbarheder.
  • Anvend principper om mindst mulige rettigheder: Giv kun adgang til det, der er nødvendigt – og overvåg ændringer i roller og passwords.
  • Opret immutable backups: Backups skal ikke kunne ændres eller slettes. Opbevar dem offline eller i et separat tenant – og test gendannelsesprocedurer regelmæssigt.
  • Overvåg logs og API-aktivitet: Følg tildeling af roller, ændringer i Key Vaults og lagringsoperationer. Sæt alarmer op for uventede privilegieeskaleringer eller masse-sletninger.
  • Styrk awareness og incident response: Træn medarbejdere i at genkende phishing og social engineering. Hav en testet beredskabsplan klar.

DataExperts SOC-overvågning af cloudmiljøer

Selv med disse foranstaltninger er løbende overvågning afgørende. DataExperts Security Operations Center (SOC) overvåger dine systemer og cloudmiljøer døgnet rundt. Vores analytikere opdager mistænkelige logins, unormale API-kald og ændringer i privilegier – og handler, før skaden sker.

Vi tilbyder sektortilpasset overvågning til blandt andet:

  • Sundhedssektoren: Via samarbejde med Zorg Detectie Netwerk (ZDN) overvåger vi trusler mod hospitaler og plejefaciliteter og stiller relevante sikkerhedsmekanismer til rådighed.
  • Industri & OT: Når OT og IT smelter sammen, identificerer vi sårbare forbindelser og sikrer løbende overvågning af både OT- og IT-systemer.
  • Logistik: Leveringskæder er sårbare. Tidlig trusselsdetektering forhindrer, at én brudt forbindelse lammer hele kæden.
  • Offentlig sektor: Vores SOC samarbejder med nationale cybersikkerhedsmyndigheder og er bekendt med rammeværker som BIO og BIG.

Med denne branchespecifikke viden og avancerede værktøjer opdager vi tidlige indikatorer på angreb som Storm 0501 – fx oprettelse af bagdøre, eskalering af privilegier og masse-sletninger – og kan dermed gribe ind i tide.

Sådan kan DataExpert hjælpe

Ud over cloud-overvågning tilbyder DataExpert en komplet portefølje til at styrke jeres modstandskraft:

  • Managed Security Awareness Training – Uddan medarbejdere i at modstå phishing og manipulation.
  • Incident Response Support – Vores specialister hjælper med at inddæmme, analysere og komme videre efter angreb.
  • Rådgivning om compliance og strategi – Vi vejleder i implementering af NIS2, BIO og BIG samt i cybersikkerhedsstrategi og arkitektur.

Vil du vide, hvordan vores SOC-overvågning kan beskytte din organisation mod næste generations cloud-ransomware? Kontakt vores eksperter. Vi hjælper dig med at vurdere risici og viser, hvordan vores løsninger kan sikre dit cloudmiljø.

Kontakt os
Blog

Insights That Strengthen Your Defense

Insights from our experts on threats, response and resilience.

View all
This is some text inside of a div block.
DataExpert
September 11, 2025
5
min read

Fra støj til klarhed: Hvorfor retsmedicin får SOC’er til at fungere

Moderne sikkerhedsværktøjer opdager, men fortolker sjældent. Uden ejerskab eller kontekst bliver advarsler til støj. Dette blogindlæg forklarer, hvordan retsmedicinsk indsigt genskaber klarhed – og genetablerer kontrol.
Read blog
This is some text inside of a div block.
DataExpert
September 11, 2025
3
min read

Er dit SOC stadig egnet til formålet?

Det er ikke, fordi dit Security Operations Center (SOC) ikke gør sit arbejde. Det gør det formentlig – i hvert fald det arbejde, det oprindeligt blev sat op til at udføre. Og netop dér bør samtalen begynde. For hvad blev dit SOC egentlig bygget til? Og er det stadig dét, din organisation har brug for i dag? Lad os se på fem spørgsmål, der kan hjælpe med at afklare, hvor du står.
Read blog
View all

More blogs?

Want to stay ahead of the next incident? Explore more insights.

Read more
Tagline

Download e-bogen: Tilliden genoprettet

Hvordan retsmedicinske undersøgelser skaber bedre detektering og smartere forberedelse.

Inkluderer:

5 læringer fra brudundersøgelser

Almindelige blinde vinkler i IT- og OT-netværk

Reducering af alarmtræthed gennem kontekstuel detektering

Fra live detektering til revisionsparathed

Trust Restored. Control Reclaimed.

Learn how organizations regain control after a cyber incident through forensic clarity, proven response, and audit-ready assurance..

DataExpert uses your data to send you the requested information and possibly contact you by email or phone. You can unsubscribe at any time. For more information, please read our privacy statement.

Protecting Today.
Securing Tomorrow.

Local experts across Europe support you before, during and after a cyber incident—no call centers, no delays. From detection to recovery, we're there when it matters. Always close. Always committed.

No items found.

Benelux

DACH

Poland

Nordics