All blogs
Cyber Security
6
min read

Storm 0501: Et Varsko for Skysikkerhet

En ny bølge av løsepengeangrep i skyen viser hvordan trusselaktører stjeler og sletter data fra Microsoft Entra ID-miljøer før de krever løsepenger. Grupper som Storm-0501 viser hvor raskt disse metodene utvikler seg. Denne bloggen forklarer hvordan angrepene fungerer, hvorfor tradisjonelle forsvarsmekanismer ikke strekker til, og hvilke tiltak organisasjonen din bør iverksette for å forbli sikker.
Published on
September 11, 2025

En nylig bølge av angrep har avslørt hvor sårbare skymiljøer faktisk kan være. En trusselaktør som tidligere var kjent for å spre løsepengevirus i lokale nettverk, har nå flyttet hele sin virksomhet til skyen. Metoden er målrettet: først eksfiltreres alle filer fra skymiljøet, deretter slettes data og sikkerhetskopier systematisk. Først etter dette kreves løsepenger for å få tilgang til dataene igjen.

Angriperne skaffer seg tilgang ved å opprette et falskt domene i Microsoft Entra ID og logger seg inn som tilnærmet hvilken som helst bruker. Deretter kartlegger de følsomme datalagre og sikkerhetskopieringspunkter som Azure Blob Storage. Når dataene er lastet ned, slettes alle lagrings- og backup-systemer. Hvis visse ressurser er beskyttet, går angriperne over til å kryptere filene og forsøker å slette tilhørende nøkler. I noen få tilfeller gjør "immutability settings" og "soft delete"-policyer det mulig å beholde nøklene – men skadene er vanligvis omfattende.

Hvordan Fungerer Denne Skybaserte Løsepengevaren?

Taktikken skiller seg betydelig fra klassisk ransomware:

  • Overgang til skyen: I stedet for å kryptere enkeltmaskiner, eksfiltreres store datamengder direkte fra skybaserte tjenester og backupen ødelegges. Det brukes ikke tradisjonell skadelig programvare – presset ligger i at datatapet fremstår som irreversibelt.
  • Bakdør via føderert domene: Ved å legge til et ondsinnet domene i Entra ID og benytte selvsignerte sertifikater, kan angriperen utstede SAML-tokens og etterligne nesten hvilken som helst bruker.
  • Misbruk av privilegier: Etter innlogging tildeles angriperen "User Access Administrator"-rollen via ett enkelt API-kall, og forfremmer deretter seg selv til "Owner" på alle Azure-abonnementer.
  • Masse­sletting og kryptering: Når dataene er kopiert, brukes vanlige Azure-API-er for å slette snapshots, gjenopprettingspunkter og lagringskontoer. Hvis ressurser er beskyttet med låser eller uforanderlighetspolicyer, fjernes disse først. Til slutt opprettes en ny Key Vault med en angriperstyrt krypteringsnøkkel som brukes til å kryptere det som gjenstår.

Det holder med én usikret konto eller glemt server for å utløse denne angrepskjeden. Kombinasjonen av avansert skylæring og misbruk av legitime funksjoner gjør disse angrepene vanskelige å oppdage.

Viktige Tiltak for Bedre Skysikkerhet

Dette utviklende trusselbildet krever en flerlaget tilnærming. DataExpert anbefaler følgende:

  • Aktiver tofaktorautentisering (MFA): MFA skal være obligatorisk for alle kontoer og administrasjonsporter. I de observerte tilfellene var én konto uten MFA nok til at angrepet eskalerte.
  • Kontinuerlig patching og oppdatering: Sørg for at operativsystemer, VPN-er og skykomponenter til enhver tid er oppdatert.
  • Minimer tilgangsrettigheter (least privilege): Gi bare nødvendige rettigheter til brukere og tjenester. Følg med på passordendringer og rolleendringer.
  • Opprett uforanderlige sikkerhetskopier: Sørg for at sikkerhetskopier ikke kan slettes eller endres. Oppbevar dem offline eller i en separat tenant, og test gjenoppretting jevnlig.
  • Overvåk logger og API-aktivitet: Følg med på rolleendringer, Key Vault-operasjoner og endringer i lagring. Sett opp varsler for uventede rettighetsendringer eller massedeletions.
  • Styrk bevissthet og hendelseshåndtering: Tren ansatte i å gjenkjenne phishing og sosial manipulasjon. Ha en testet plan for hendelseshåndtering klar.

DataExperts SOC Cloud Monitoring

Selv med alle disse tiltakene på plass, er kontinuerlig overvåkning avgjørende. DataExpert tilbyr et Security Operations Center (SOC) som overvåker dine systemer og skymiljø 24/7. Våre sikkerhetsanalytikere identifiserer mistenkelige innlogginger, uvanlige API-kall og endringer i rettigheter – og handler før skade oppstår.

Vi tilbyr bransjespesifikk overvåkning for:

  • Helse: Gjennom vårt samarbeid med Zorg Detectie Netwerk (ZDN) overvåker vi trusler rettet mot helseorganisasjoner og leverer tilpasset infrastruktur.
  • Industri og OT: Vi avdekker sårbare forbindelser mellom operasjonell teknologi (OT) og IT, og overvåker miljøene kontinuerlig.
  • Logistikk: Vi identifiserer trusler tidlig for å forhindre at én kompromittert komponent stopper hele forsyningskjeden.
  • Offentlig sektor: Vårt SOC samarbeider med NCSC og Cyberveilig Nederland. Vi kjenner rammeverk som BIO og BIG, og overvåker allerede flere offentlige miljøer.

Gjennom å kombinere sektorspesifikk innsikt med avanserte verktøy kan vi identifisere tidlige tegn på angrep som Storm 0501 – som bakdør-opprettelse, privilegieeskalering og storskalasletting – og gripe inn i tide.

Hvordan DataExpert Kan Hjelpe

I tillegg til skyovervåkning tilbyr vi:

  • Styrt opplæring i sikkerhetsbevissthet – Gjør ansatte bedre rustet mot phishing og sosial manipulering.
  • Støtte ved hendelser – Våre spesialister hjelper deg med å avgrense, analysere og gjenopprette ved alvorlige hendelser.
  • Rådgivning innen etterlevelse og cybersikkerhet – Vi veileder deg i implementering av NIS2, BIO, BIG og hjelper deg med strategi og arkitektur.

Ønsker du å vite hvordan vår SOC Cloud Monitoring-tjeneste kan beskytte din organisasjon mot neste generasjons skybaserte løsepengeangrep? Ta kontakt med våre eksperter. Vi hjelper deg med risikovurdering og viser hvordan løsningene våre gir bedre beskyttelse i skyen.

Kontakt Oss
Blog

Insights That Strengthen Your Defense

Insights from our experts on threats, response and resilience.

View all
This is some text inside of a div block.
DataExpert
September 11, 2025
3
min read

Er Ditt SOC Fortsatt Egnet for Formålet?

Det er ikke nødvendigvis slik at Security Operations Center-et (SOC) ditt ikke gjør jobben sin. Det gjør den sannsynligvis – i hvert fall jobben det opprinnelig ble etablert for å gjøre. Og nettopp der bør samtalen starte. For hva ble SOC-et ditt egentlig bygget for? Og er det fortsatt det organisasjonen din trenger i dag? La oss se på fem spørsmål som kan bidra til å avklare hvor du står.
Read blog
This is some text inside of a div block.
DataExpert
September 11, 2025
2
min read

Hvorfor Ditt SOC Trenger et Rettsvitenskapelig Tankesett

Tegnene var der – logget, men oversett. Tradisjonelle SOC-er detekterer og eskalerer, men overser ofte det viktigste: å forstå helheten. Denne bloggen viser hvordan et rettsforensisk tankesett gir klarhet, hastighet og kontroll.
Read blog
View all

More blogs?

Want to stay ahead of the next incident? Explore more insights.

Read more
Tagline

Last ned e-boken:
Tilliten gjenopprettet

Hvordan forensiske undersøkelser bidrar til bedre deteksjon og smartere forberedelser.

Inkluderer:

5 lærdommer fra sikkerhetsbruddsundersøkelser

Vanlige blindsone i IT- og OT-nettverk

Redusere varslingsutmattelse gjennom kontekstuell deteksjon

Fra sanntidsdeteksjon til revisjonsberedskap

Trust Restored. Control Reclaimed.

Learn how organizations regain control after a cyber incident through forensic clarity, proven response, and audit-ready assurance..

DataExpert uses your data to send you the requested information and possibly contact you by email or phone. You can unsubscribe at any time. For more information, please read our privacy statement.

Protecting Today.
Securing Tomorrow.

Local experts across Europe support you before, during and after a cyber incident—no call centers, no delays. From detection to recovery, we're there when it matters. Always close. Always committed.

No items found.

Benelux

DACH

Poland

Nordics