All blogs
Cyber Security
6
min read

Storm 0501: Een Wake-upcall voor Cloudbeveiliging

Een nieuwe golf van cloud-ransomwareaanvallen laat zien hoe cybercriminelen data stelen en wissen uit Microsoft Entra ID-omgevingen voordat ze losgeld eisen. Groepen zoals Storm-0501 tonen hoe snel deze methoden zich ontwikkelen. Deze blog legt uit hoe de aanvallen verlopen, waarom traditionele verdedigingsmaatregelen tekortschieten, en welke stappen jouw organisatie moet nemen om veilig te blijven.
Published on
September 11, 2025

Een recente aanvalsgolf toont hoe kwetsbaar cloudomgevingen kunnen zijn. Een groep cybercriminelen, eerder actief met ransomware in on-premise netwerken, richt zich nu volledig op de cloud. Hun werkwijze is doelgericht: eerst exfiltreren ze alle bestanden uit de cloudomgeving, daarna verwijderen ze systematisch data en back-ups. Pas daarna volgt de eis tot losgeld voor het zogenaamd terughalen van de gegevens.

Hoe krijgen ze toegang? De aanvallers maken een nep-domein aan binnen Microsoft Entra ID en kunnen zich daarmee voordoen als vrijwel elke gebruiker. Eenmaal binnen brengen ze gevoelige databronnen en back-uplocaties, zoals Azure Blob Storage, in kaart. Na het downloaden van de data wissen ze alles. Als bepaalde bronnen beschermd zijn, schakelen ze over op encryptie en proberen ze de bijbehorende sleutels te verwijderen. In zeldzame gevallen blijven sleutels behouden door immutability-instellingen, maar de schade is dan meestal al aanzienlijk.

Hoe Werkt Deze Cloud-Ransomware?

De werkwijze van deze groep verschilt fundamenteel van traditionele ransomware. Enkele kenmerken:

  • Volledige focus op de cloud: Geen malware op endpoints, maar exfiltratie via cloudservices en het verwijderen van back-ups. De druk ontstaat uit het ogenschijnlijke verlies van alle data.
  • Achterdeur via federated domain: Door een malafide domein toe te voegen aan de Entra ID-tenant en zelfondertekende certificaten te gebruiken, genereren ze SAML-tokens en kunnen ze vrijwel elke gebruiker imiteren.
  • Misbruik van rechten: Met één API-call kennen ze zichzelf de rol “User Access Administrator” toe, daarna promoveren ze zichzelf tot “Owner” in alle Azure-subscripties.
  • Massa-verwijdering en encryptie: Via standaard Azure API’s verwijderen ze snapshots, herstelpunten en storage-accounts. Indien nodig verwijderen ze eerst bescherming zoals locks of immutability-instellingen. Daarna creëren ze een eigen Key Vault met versleuteling via eigen sleutels.

Eén niet-beveiligd account of vergeten server is genoeg om deze aanvalsketen te starten. De combinatie van cloudkennis en misbruik van legitieme functies maakt detectie lastig.

Wat Moet Je Doen?

Deze aanvallen vragen om een gelaagde aanpak. DataExpert adviseert de volgende maatregelen:

  • Activeer Multi-Factor Authenticatie (MFA): Verplicht MFA voor alle accounts en beheerdersportalen. In onderzochte incidenten begon het met één account zonder MFA.
  • Voer continu updates en patches door: Houd besturingssystemen, VPN’s en cloudcomponenten actueel om bekende kwetsbaarheden te sluiten.
  • Pas het principe van minimale rechten toe: Beperk toegang tot wat echt nodig is. Monitor wachtwoordresets en rolwijzigingen.
  • Maak back-ups onveranderbaar: Zorg dat back-ups niet kunnen worden aangepast of verwijderd. Bewaar ze offline of in een andere tenant. Test herstelprocedures regelmatig.
  • Monitor logs en API-activiteit actief: Volg roltoewijzingen, Key Vault-acties en opslagwijzigingen. Stel meldingen in voor privilege-escalaties of massaverwijderingen.
  • Investeer in bewustwording en incidentrespons: Train personeel in het herkennen van phishing en social engineering. Zorg voor een getest incident response-plan.

DataExpert’s SOC Cloud Monitoring

Zelfs met alle maatregelen blijft continue monitoring essentieel. DataExpert biedt een 24/7 Security Operations Center (SOC) dat toezicht houdt op jouw systemen en cloudomgeving. Onze analisten detecteren verdachte logins, afwijkende API-calls en privilegewijzigingen—en grijpen in vóórdat schade ontstaat.

Onze monitoring is sectorspecifiek ingericht:

  • Zorgsector: Via het Zorg Detectie Netwerk (ZDN) signaleren we dreigingen gericht op ziekenhuizen en zorginstellingen, met passende infrastructuur.
  • Industrie & OT: We monitoren kwetsbare koppelingen tussen OT en IT en zorgen voor doorlopende detectie.
  • Logistiek: Dreigingen richting de keten worden vroegtijdig gesignaleerd, zodat een enkel incident niet de hele keten platlegt.
  • Overheid: Onze SOC werkt samen met het Nationaal Cyber Security Centrum en Cyberveilig Nederland. We zijn vertrouwd met BIO, BIG en andere normen.

Door deze sectorspecifieke aanpak te combineren met geavanceerde tooling herkennen we vroege signalen van aanvallen zoals Storm 0501—zoals het aanmaken van backdoors, privilege-escalatie en massale deletie—en kunnen we tijdig ingrijpen.

Wat DataExpert Verder Biedt

Naast cloudmonitoring biedt DataExpert een breed portfolio voor structurele weerbaarheid:

  • Managed Security Awareness Training: Maak medewerkers weerbaarder tegen phishing en manipulatie.
  • Incident Response Support: Onze specialisten helpen bij het indammen, onderzoeken en herstellen van incidenten.
  • Consultancy en Compliance-advies: We begeleiden implementaties rondom NIS2, BIO, BIG en adviseren over strategie en architectuur.

Meer weten over onze SOC Cloud Monitoring en hoe wij je cloudomgeving kunnen beschermen tegen aanvallen zoals Storm 0501? Neem contact op met onze experts. We helpen je risico’s in kaart te brengen en tonen hoe onze oplossingen je cloud weerbaar maken.

Neem Contact Op
Blog

Insights That Strengthen Your Defense

Insights from our experts on threats, response and resilience.

View all
This is some text inside of a div block.
DataExpert
September 11, 2025
2
min read

Wanneer Je SOC Een Echte Security Partner Wordt

Niet alle SOC’s bieden echte ondersteuning wanneer het erop aankomt. Sommige sturen alleen meldingen door—anderen helpen je daadwerkelijk handelen. In deze blog verkennen we wat een echte SOC-partner onderscheidt: context, aanwezigheid en het vermogen om signalen om te zetten in beslissingen. Want cybersecurity draait niet alleen om detectie. Het gaat erom wie er naast je staat op het moment dat het telt.
Read blog
This is some text inside of a div block.
DataExpert
September 11, 2025
5
min read

Van Ruis naar Inzicht: Waarom Forensiek SOCs Laat Werken

Moderne securitytools detecteren, maar interpreteren zelden. Zonder eigenaarschap of context worden meldingen ruis. Deze blog legt uit hoe forensisch inzicht weer voor duidelijkheid zorgt—en de regie terugbrengt.
Read blog
View all

More blogs?

Want to stay ahead of the next incident? Explore more insights.

Read more
Tagline

Download het e-book: Vertrouwen Hersteld

Hoe forensisch onderzoek leidt tot betere detectie en slimmere voorbereiding.

Inclusief:

5 lessen uit incidentonderzoeken

Veelvoorkomende blinde vlekken in IT- en OT-netwerken

Minder alertmoeheid door contextuele detectie

Van live detectie naar auditgereedheid

Trust Restored. Control Reclaimed.

Learn how organizations regain control after a cyber incident through forensic clarity, proven response, and audit-ready assurance..

DataExpert uses your data to send you the requested information and possibly contact you by email or phone. You can unsubscribe at any time. For more information, please read our privacy statement.

Protecting Today.
Securing Tomorrow.

Local experts across Europe support you before, during and after a cyber incident—no call centers, no delays. From detection to recovery, we're there when it matters. Always close. Always committed.

No items found.

Benelux

DACH

Poland

Nordics