Ransomware in de cloud: niet betalen is geen data

Ransomware-aanvallen zijn niet langer beperkt tot de eigen servers van organisaties, maar richten zich ook steeds vaker op de cloud. Een recent rapport van Microsoft merkt op dat Hackergroep Storm-0501 ook zijn tactiek aanpast en richt zich nu volledig op cloudomgevingen.

Eigen tools tegen de cloud gebruikt

De aanvallers maken slim gebruik van de mogelijkheden die cloudplatforms zelf bieden. In plaats van traditionele ransomware verspreiden ze geen malware meer, maar gebruiken ze bestaande cloudfuncties om data te stelen en te versleutelen. Door back-ups te wissen en herstelpunten te vernietigen, ontnemen ze slachtoffers de kans om zonder te betalen hun data terug te krijgen. Het resultaat: maximale druk, minimale zichtbaarheid.

Ook Storm-0501 gaat op deze manier te werk. De groep dringt binnen via zwakke plekken in cloudbeveiliging, zoals in dit geval slecht ingestelde Microsoft Defender-omgevingen en accounts zonder multifactorauthenticatie.

Eenmaal binnen nemen ze beheerdersrechten over, voegen eigen domeinen toe en omzeilen zo meerdere beveiligingsonderdelen. Vervolgens worden herstelpunten en opslag vernietigd en wordt data versleuteld met zelf aangemaakte sleutels. Hierdoor wordt toegang ontnomen en is er nog maar een manier om de data weer terug te krijgen: de hackers betalen.

Een belletje via Teams

Na het stelen en versleutelen van data benaderen de aanvallers hun slachtoffers via Microsoft Teams, met de eis tot betaling. Deze nieuwe aanpak laat zien dat ransomware zich steeds minder richt op lokale systemen. Naarmate traditionele encryptietools beter worden tegengehouden, verschuift de strijd meer en meer naar de cloud – een speelveld waar detectie en blokkering lastiger zijn dan ooit.

Uit een rapport van Crowdstrike blijkt dat deze variant van ransomware-aanvallen enorm in de lift zitten in 2025. In de eerste helft van dit jaar meette het securitybedrijf een toename van 136 procent in vergelijking met heel 2024.