Amazon SageMaker Unified Studio notebooks now support import/export capabilities, enabling migration from JupyterLab and other notebook platforms. This release also introduces developer acceleration features including cell reordering, keyboard shortcuts, cell renaming, and multi-line SQL support, designed to enhance productivity for data engineers and data scientists professionals working with notebook-based workflows.
The new import/export functionality supports .ipynb, .json, and .py formats while preserving cell types and metadata, making platform migration straightforward. You can export notebooks in four formats including Jupyter notebook with requirements (.zip), standard .ipynb, Python scripts (.py), and SageMaker Unified Studio native format (.json). Developer acceleration features enable you to reorder cells without copy-paste duplication, assign custom names to cells for improved navigation in large notebooks, use familiar keyboard shortcuts for faster development, and execute multiple SQL statements in a single cell with results displayed in separate tabs for easy comparison and analysis.
Amazon SageMaker Unified Studio notebooks now support import/export capabilities, enabling migration from JupyterLab and other notebook platforms. This release also introduces developer acceleration features including cell reordering, keyboard shortcuts, cell renaming, and multi-line SQL support, designed to enhance productivity for data engineers and data scientists professionals working with notebook-based workflows.
The new import/export functionality supports .ipynb, .json, and .py formats while preserving cell types and metadata, making platform migration straightforward. You can export notebooks in four formats including Jupyter notebook with requirements (.zip), standard .ipynb, Python scripts (.py), and SageMaker Unified Studio native format (.json). Developer acceleration features enable you to reorder cells without copy-paste duplication, assign custom names to cells for improved navigation in large notebooks, use familiar keyboard shortcuts for faster development, and execute multiple SQL statements in a single cell with results displayed in separate tabs for easy comparison and analysis.
This feature is available in all AWS Regions where Amazon SageMaker Unified Studio is available. To learn more, visit the Amazon SageMaker Unified Studio marketing page and user guide.
We’re excited to announce the launch of a new Greengrass component SDK for AWS IoT Greengrass applications. This new SDK addresses the challenge of deploying sophisticated applications on edge devices with limited resources, enabling industries such as automotive, industrial IoT, robotics, and smart buildings to run more complex AI and ML workloads at the edge. Moreover, the new SDK maintains full compatibility with both AWS IoT Greengrass nucleus and nucleus lite capabilities.
The new Greengrass component SDK offers significant memory footprint reduction, with a footprint of less than 0.5MB compared to 30MB, enabling deployment on resource-constrained devices. It provides native C, C++, and Rust bindings, optimized for performance and cost-critical embedded applications. This SDK opens new possibilities for edge computing applications where memory constraints have previously been a limiting factor.
The new Greengrass component SDK is available in all AWS Regions where AWS IoT Greengrass is available.
We’re excited to announce the launch of a new Greengrass component SDK for AWS IoT Greengrass applications. This new SDK addresses the challenge of deploying sophisticated applications on edge devices with limited resources, enabling industries such as automotive, industrial IoT, robotics, and smart buildings to run more complex AI and ML workloads at the edge. Moreover, the new SDK maintains full compatibility with both AWS IoT Greengrass nucleus and nucleus lite capabilities. The new Greengrass component SDK offers significant memory footprint reduction, with a footprint of less than 0.5MB compared to 30MB, enabling deployment on resource-constrained devices. It provides native C, C++, and Rust bindings, optimized for performance and cost-critical embedded applications. This SDK opens new possibilities for edge computing applications where memory constraints have previously been a limiting factor.
The new Greengrass component SDK is available in all AWS Regions where AWS IoT Greengrass is available.
As announced on November 19, 2025, Amazon S3 is now deploying a new default bucket security setting which will automatically disable server-side encryption with customer-provided keys (SSE-C) for all new general purpose buckets. For existing buckets in AWS accounts with no SSE-C encrypted objects, S3 will also disable SSE-C for all new write requests. For AWS accounts with SSE-C usage, S3 will not change the bucket encryption configuration on any of the existing buckets in those accounts. To learn more about this change, visit the S3 User Guide.
Amazon S3 will deploy this new default to both new and existing general purpose buckets in 37 AWS Regions including the AWS China and AWS GovCloud (US) Regions over the next few weeks.
As announced on November 19, 2025, Amazon S3 is now deploying a new default bucket security setting which will automatically disable server-side encryption with customer-provided keys (SSE-C) for all new general purpose buckets. For existing buckets in AWS accounts with no SSE-C encrypted objects, S3 will also disable SSE-C for all new write requests. For AWS accounts with SSE-C usage, S3 will not change the bucket encryption configuration on any of the existing buckets in those accounts. To learn more about this change, visit the S3 User Guide. Amazon S3 will deploy this new default to both new and existing general purpose buckets in 37 AWS Regions including the AWS China and AWS GovCloud (US) Regions over the next few weeks.
Amazon Relational Database Service (Amazon RDS) for Oracle now supports Oracle Management Agent (OMA) version 24.1.0.0.v1 for Oracle Enterprise Manager (OEM) Cloud Control 24ai Release 1. OEM 24ai offers web-based tools to monitor and manage your Oracle databases. Amazon RDS for Oracle installs OMA, which communicates with your Oracle Management Service (OMS) to provide monitoring information. Customers running OMS version 24.1 Release 1 or later can now manage databases by installing OMA 24.1.0.0.v1
To enable the version 24.1.0.0.v1 of OMA for OEM 24aiR1 or later, navigate to «Option Groups» in the AWS Management Console and add the «OEM_AGENT» option to a new or existing option group and set AGENT_VERSION to “24.1.0.0.v1”. You will also need to configure option settings including OMS hostname (or IP), port, agent registration password, and minimum TLS version of TLSv1.2 to allow OMA on your Amazon RDS for Oracle database instances to communicate with your existing Oracle Management Service (OMS) stack. To learn more, please refer to Amazon RDS for Oracle documentation.
Amazon Relational Database Service (Amazon RDS) for Oracle now supports Oracle Management Agent (OMA) version 24.1.0.0.v1 for Oracle Enterprise Manager (OEM) Cloud Control 24ai Release 1. OEM 24ai offers web-based tools to monitor and manage your Oracle databases. Amazon RDS for Oracle installs OMA, which communicates with your Oracle Management Service (OMS) to provide monitoring information. Customers running OMS version 24.1 Release 1 or later can now manage databases by installing OMA 24.1.0.0.v1 To enable the version 24.1.0.0.v1 of OMA for OEM 24aiR1 or later, navigate to «Option Groups» in the AWS Management Console and add the «OEM_AGENT» option to a new or existing option group and set AGENT_VERSION to “24.1.0.0.v1”. You will also need to configure option settings including OMS hostname (or IP), port, agent registration password, and minimum TLS version of TLSv1.2 to allow OMA on your Amazon RDS for Oracle database instances to communicate with your existing Oracle Management Service (OMS) stack. To learn more, please refer to Amazon RDS for Oracle documentation. For more information on enabling and configuring OEM agents, refer to the Amazon RDS for Oracle documentation.
Customers can now create Amazon FSx for OpenZFS file systems in the AWS Asia Pacific (Melbourne) Region, providing fully managed shared file storage built on the OpenZFS file system.
Amazon FSx makes it easier and more cost effective to launch, run, and scale feature-rich, high-performance file systems in the cloud. It supports a wide range of workloads with its reliability, security, scalability, and broad set of capabilities. Amazon FSx for OpenZFS provides fully managed, cost-effective, shared file storage powered by the popular OpenZFS file system, and is designed to deliver sub-millisecond latencies and multi-GB/s throughput along with rich ZFS-powered data management capabilities (like snapshots, data cloning, and compression).
To learn more about Amazon FSx for OpenZFS, visit our product page, and see the AWS Region Table for complete regional availability information.
Customers can now create Amazon FSx for OpenZFS file systems in the AWS Asia Pacific (Melbourne) Region, providing fully managed shared file storage built on the OpenZFS file system. Amazon FSx makes it easier and more cost effective to launch, run, and scale feature-rich, high-performance file systems in the cloud. It supports a wide range of workloads with its reliability, security, scalability, and broad set of capabilities. Amazon FSx for OpenZFS provides fully managed, cost-effective, shared file storage powered by the popular OpenZFS file system, and is designed to deliver sub-millisecond latencies and multi-GB/s throughput along with rich ZFS-powered data management capabilities (like snapshots, data cloning, and compression). To learn more about Amazon FSx for OpenZFS, visit our product page, and see the AWS Region Table for complete regional availability information.
AWS today announced the general availability of Smithy-Java, an open-source Java framework for generating type-safe clients and standalone classes from Smithy models. Smithy-Java addresses one of the most consistently requested capabilities from enterprise Smithy users: production-grade Java SDK generation. The framework allows you to generate clients from models and async patterns that increase cognitive load and maintenance burden for developers building modern Java applications.
Built on Java 21’s virtual threads, Smithy-Java provides a blocking-style API that is both simpler to use and competitive in performance with complex async alternatives. Key benefits include auto-generated type-safe clients from Smithy, protocol flexibility with runtime protocol swapping for gradual migration paths. The GA release includes the Java client code generator, support for AWS SigV4 and all major AWS protocols (AWS JSON, REST-JSON, REST-XML, AWS Query, and Smithy RPCv2-CBOR), standalone type code generation for sharing types across multiple services or data modeling, and a dynamic client that can call Smithy services without a codegen step.
The framework pioneers two architectural innovations: schema-driven serialization that reduces SDK size while improving performance, and binary decision diagrams (BDD) for endpoint rules resolution delivering significant latency improvements. Internal Amazon teams have already built complete services in weeks rather than months using Smithy-Java, with service teams depending on it internally. The framework is ideal for organizations invested in the Smithy ecosystem, teams requiring protocol-agnostic development, and developers building new services with generated server stubs.
AWS today announced the general availability of Smithy-Java, an open-source Java framework for generating type-safe clients and standalone classes from Smithy models. Smithy-Java addresses one of the most consistently requested capabilities from enterprise Smithy users: production-grade Java SDK generation. The framework allows you to generate clients from models and async patterns that increase cognitive load and maintenance burden for developers building modern Java applications.
Built on Java 21’s virtual threads, Smithy-Java provides a blocking-style API that is both simpler to use and competitive in performance with complex async alternatives. Key benefits include auto-generated type-safe clients from Smithy, protocol flexibility with runtime protocol swapping for gradual migration paths. The GA release includes the Java client code generator, support for AWS SigV4 and all major AWS protocols (AWS JSON, REST-JSON, REST-XML, AWS Query, and Smithy RPCv2-CBOR), standalone type code generation for sharing types across multiple services or data modeling, and a dynamic client that can call Smithy services without a codegen step.
The framework pioneers two architectural innovations: schema-driven serialization that reduces SDK size while improving performance, and binary decision diagrams (BDD) for endpoint rules resolution delivering significant latency improvements. Internal Amazon teams have already built complete services in weeks rather than months using Smithy-Java, with service teams depending on it internally. The framework is ideal for organizations invested in the Smithy ecosystem, teams requiring protocol-agnostic development, and developers building new services with generated server stubs.
To learn more, visit our blog post and follow the Smithy Java Quickstart guide.
Today, AWS announces support for policy store aliases and named policies and policy templates in Amazon Verified Permissions, simplifying multi-tenant deployments and day-to-day policy management. Amazon Verified Permissions is a fine-grained authorization service that helps you manage and enforce permissions across your applications using Cedar policies. These new capabilities eliminate the need to maintain separate mapping tables for associating tenant identifiers with policy store IDs or tracking individual policy and template IDs.
With policy store aliases, multi-tenant application developers can assign a human-readable alias based on a tenant identifier and use it in any API call, removing the need for a lookup table. Similarly, named policies and policy templates let you reference policies by meaningful names instead of system-generated IDs, making it easier to manage authorization logic as your application grows.
Amazon Verified Permissions policy store aliases and named policies and templates are available in all AWS Regions where Amazon Verified Permissions is available. For a full list of supported Regions, see Amazon Verified Permissions endpoints and quotas.
Today, AWS announces support for policy store aliases and named policies and policy templates in Amazon Verified Permissions, simplifying multi-tenant deployments and day-to-day policy management. Amazon Verified Permissions is a fine-grained authorization service that helps you manage and enforce permissions across your applications using Cedar policies. These new capabilities eliminate the need to maintain separate mapping tables for associating tenant identifiers with policy store IDs or tracking individual policy and template IDs.
With policy store aliases, multi-tenant application developers can assign a human-readable alias based on a tenant identifier and use it in any API call, removing the need for a lookup table. Similarly, named policies and policy templates let you reference policies by meaningful names instead of system-generated IDs, making it easier to manage authorization logic as your application grows.
Amazon Verified Permissions policy store aliases and named policies and templates are available in all AWS Regions where Amazon Verified Permissions is available. For a full list of supported Regions, see Amazon Verified Permissions endpoints and quotas.
To get started, see Policy store aliases and Creating static policies in the Amazon Verified Permissions User Guide, or visit the Amazon Verified Permissions API Reference.
Amazon WorkSpaces Personal now provides unique, publicly resolvable Domain Name System (DNS) names for each AWS PrivateLink Virtual Private Cloud (VPC) endpoint, enabling enterprise customers to deploy WorkSpaces across multiple AWS VPCs and accounts without DNS resolution conflicts. Each interface VPC endpoint now receives a globally unique AWS-managed DNS name in addition to the previous generic DNS name that was shared across all endpoints.
This enhancement enables customers to route traffic appropriately in multi-account environments with centralized DNS infrastructure. Customers can now deploy WorkSpaces Personal directories across different VPCs and AWS accounts while maintaining proper security isolation, eliminating the DNS name collision that previously prevented customers from using separate interface VPC endpoints across accounts. The publicly resolvable DNS names simplify configuration while maintaining security, as they resolve to private IP addresses accessible only from within the respective VPC. The unique DNS names are automatically managed by AWS throughout their lifecycle, requiring no additional Route 53 configuration or custom DNS management.
This feature is available in all AWS regions where PrivateLink is available in Amazon WorkSpaces Personal.
Amazon WorkSpaces Personal now provides unique, publicly resolvable Domain Name System (DNS) names for each AWS PrivateLink Virtual Private Cloud (VPC) endpoint, enabling enterprise customers to deploy WorkSpaces across multiple AWS VPCs and accounts without DNS resolution conflicts. Each interface VPC endpoint now receives a globally unique AWS-managed DNS name in addition to the previous generic DNS name that was shared across all endpoints. This enhancement enables customers to route traffic appropriately in multi-account environments with centralized DNS infrastructure. Customers can now deploy WorkSpaces Personal directories across different VPCs and AWS accounts while maintaining proper security isolation, eliminating the DNS name collision that previously prevented customers from using separate interface VPC endpoints across accounts. The publicly resolvable DNS names simplify configuration while maintaining security, as they resolve to private IP addresses accessible only from within the respective VPC. The unique DNS names are automatically managed by AWS throughout their lifecycle, requiring no additional Route 53 configuration or custom DNS management. This feature is available in all AWS regions where PrivateLink is available in Amazon WorkSpaces Personal. To learn more, see Amazon WorkSpaces PrivateLink documentation. For configuration details, refer to the WorkSpaces Administration Guide. Existing customers will automatically benefit from this enhancement, as the system maintains backward compatibility with previous DNS configurations.
Storm-1175 centra la atención en activos vulnerables que se conectan a la web en operaciones de ransomware Medusa de alta velocidad
Por: Microsoft Threat Intelligence.
El actor cibercriminal con motivación financiera, rastreado por Microsoft Threat Intelligence, conocido como Storm-1175, opera campañas de ransomware de alta velocidad que utilizan N-days como arma, para atacar sistemas vulnerables y conectados a la web durante el periodo entre la divulgación de vulnerabilidades y la adopción generalizada de parches. Tras una explotación exitosa, Storm-1175 pasa con rapidez del acceso inicial a la exfiltración de datos y el despliegue del ransomware Medusa, a menudo en pocos días y, en algunos casos, en 24 horas. El alto ritmo operativo del actor amenazante y su destreza en la identificación de activos perimetrales expuestos han resultado exitosos, con intrusiones recientes que han afectado de manera importante a organizaciones sanitarias, así como a los sectores de educación, servicios profesionales y finanzas en Australia, Reino Unido y Estados Unidos.
El ritmo de las campañas de Storm-1175 es posible gracias al uso constante de vulnerabilidades reveladas de manera reciente por parte del actor amenazante para obtener acceso inicial. Aunque el actor de la amenaza suele utilizar vulnerabilidades de N-day, también hemos observado que Storm-1175 aprovecha exploits de día cero, en algunos casos una semana antes de la divulgación pública de vulnerabilidades. También se ha observado que el actor amenazante encadena múltiples exploits para permitir actividades posteriores al compromiso. Tras el acceso inicial, Storm-1175 establece persistencia al crear nuevas cuentas de usuario, despliega diversas herramientas, incluido software de monitorización y gestión remota para movimientos laterales, realiza robos de credenciales y manipula soluciones de seguridad antes de desplegar ransomware en todo el entorno comprometido.
En esta entrada del blog, profundizamos en las técnicas de ataque atribuidas a Storm-1175 durante varios años. Aunque la metodología de Storm-1175 se alinea con las tácticas, técnicas y procedimientos (TTPs) de muchos actores de ransomware rastreados, el análisis de sus tácticas posteriores al compromiso proporciona información esencial sobre cómo las organizaciones pueden reforzarse y defenderse contra atacantes como Storm-1175, para informar oportunidades para interrumpir a los atacantes incluso si han tenido acceso inicial a una red.
La cadena de ataques rápidos de Storm-1175: Desde el acceso inicial hasta el impacto
Explotación de activos vulnerables que se conectan a la web
Storm-1175 utiliza con rapidez vulnerabilidades reveladas de manera reciente para obtener acceso inicial. Desde 2023, Microsoft Threat Intelligence ha observado la explotación de más de 16 vulnerabilidades, incluidas:
Storm-1175 rota exploits con rapidez durante el tiempo entre la divulgación y la disponibilidad o adopción de parches, para aprovechar el periodo en que muchas organizaciones permanecen sin protección. En algunos casos, Storm-1175 ha convertido exploits como armas para vulnerabilidades reveladas en tan solo un día, como ocurrió con CVE-2025-31324 que afectó a SAP NetWeaver: el problema de seguridad se reveló el 24 de abril de 2025, y observamos la explotación de Storm-1175 poco después, el 25 de abril.
Figura 1. Cronología de divulgación y explotación de vulnerabilidades utilizadas por Storm-1175 en campañas
En múltiples intrusiones, Storm-1175 ha encadenado exploits para permitir actividades posteriores al compromiso como la ejecución remota de código (RCE, por sus siglas en inglés). Por ejemplo, en julio de 2023, Storm-1175 explotó dos vulnerabilidades que afectaban a los Microsoft Exchange Servers locales, denominadas «OWASSRF» por investigadores públicos: la explotación de CVE202241080 proporcionaba acceso inicial exponiendo Exchange PowerShell a través de Outlook Web Access (OWA), y Storm-1175 explotó de manera posterior CVE202241082, para lograr la ejecución remota de código.
Storm-1175 también ha demostrado capacidad para atacar sistemas Linux: a finales de 2024, Microsoft Threat Intelligence identificó la explotación de instancias vulnerables de Oracle WebLogic en múltiples organizaciones, aunque no pudimos identificar la vulnerabilidad exacta que se explotaba en estos ataques.
Por último, también hemos observado el uso de al menos tres vulnerabilidades zero-day, incluida, de manera más reciente, CVE-2026-23760 en SmarterMail, que fue explotado por Storm-1175 la semana anterior a la divulgación pública, y CVE-2025-10035 en GoAnywhere Managed File Transfer, también explotado una semana antes de su divulgación pública. Aunque estos ataques más recientes demuestran una capacidad de desarrollo evolucionada o un nuevo acceso a recursos como brokers de exploits para Storm-1175, cabe destacar que GoAnywhere MFT ha sido antes objetivo de atacantes de ransomware, y que la vulnerabilidad de SmarterMail era similar a un fallo antes revelado; estos factores pueden haber facilitado la posterior actividad de explotación de día cero por parte de Storm-1175, que aprovecha de manera principal las vulnerabilidades de los días N. En cualquier caso, a medida que los atacantes son cada vez más hábiles para identificar nuevas vulnerabilidades, comprender su huella digital —como mediante el uso de interfaces públicas de escaneo como Microsoft Defender External Attack Surface Management— es esencial para defenderse contra ataques a redes perimetrales.
Persistencia encubierta y movimiento lateral
Durante la explotación, Storm-1175 suele crear una web shell o soltar una carga útil de acceso remoto para establecer su presencia inicial en el entorno. A partir de este momento, Microsoft Threat Intelligence ha observado que Storm-1175 pasó del acceso inicial al despliegue de ransomware en tan solo un día, aunque muchos de los ataques del actor se han producido en un periodo de cinco a seis días.
Figura 2. Cadena de ataque Storm-1175
En el dispositivo comprometido en un inicio, el actor de la amenaza a menudo establece persistencia a través de la creación de un nuevo usuario y de añadir a ese usuario al grupo de administradores:
Figura 3. Storm-1175 crea una nueva cuenta de usuario y la añade como administrador
A partir de esta cuenta, Storm-1175 inicia su actividad de reconocimiento y movimiento lateral. Storm-1175 cuenta con una rotación de herramientas para realizar estas fases de ataque posteriores. Lo más habitual es observar el uso de binarios que viven de la tierra (LOLBins), incluidos PowerShell y PsExec, seguidos por el uso de túneles Cloudflare (renombrados para imitar binarios legítimos como conhost.exe) para moverse de manera lateral sobre el Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) y entregar cargas útiles a nuevos dispositivos. Si el RDP no está permitido en el entorno, se ha observado que Storm-1175 utiliza privilegios de administrador para modificar la política del Cortafuegos de Windows y habilitar el Escritorio Remoto.
Figura 4. Desde una base inicial tras el compromiso de una aplicación SmarterMail, Storm-1175 modifica el cortafuegos y permite el acceso al escritorio remoto para movimientos laterales, a través de escribir los resultados del comando en un archivo TXT
Storm-1175 también ha demostrado una fuerte dependencia de herramientas de monitorización y gestión remota (RMM, por sus siglas en inglés) durante la actividad posterior a la concesión. Desde 2023, Storm-1175 ha utilizado múltiples RMM, incluidos:
Atera RMM
Nivel RMM
N-able
DWAgent
MeshAgent
ConnectWise ScreenConnect
AnyDesk
SimpleHelp
Aunque suelen ser utilizadas por equipos de TI empresariales, estas herramientas RMM cuentan con funcionalidades multifacéticas que también podrían permitir a los adversarios mantener la persistencia en una red comprometida, crear nuevas cuentas de usuario, habilitar un método alternativo de comando y control (C2), entregar cargas útiles adicionales o usarlas como una sesión interactiva de escritorio remoto.
En muchos ataques, Storm-1175 depende de PDQ Deployer, una herramienta legítima de despliegue de software que permite a los administradores de sistemas instalar aplicaciones de forma silenciosa, tanto para el movimiento lateral como para la entrega de cargas útiles, incluido el despliegue de ransomware en toda la red.
Además, Storm-1175 ha aprovechado Impacket para movimientos laterales. Impacket es un conjunto de clases de Python de código abierto diseñadas para trabajar con protocolos de red, y es popular entre sus adversarios debido a su facilidad de uso y amplia gama de capacidades. Microsoft Defender for Endpoint tiene una regla dedicada de reducción de superficie de ataque para defenderse contra técnicas de movimiento lateral utilizadas por Impacket: crear procesos de bloque originados en comandos PSExec y WMI); proteger las vías de movimiento lateral también puede mitigar el Impacket.
Robo de credenciales
Impacket se utiliza además para facilitar el volcado de credenciales a través de LSASS; el actor amenazante también aprovechó la herramienta de robo de credenciales de mercancías Mimikatz para identificar intrusiones en 2025. Además, Storm-1175 ha utilizado técnicas conocidas de vivir de la tierra para robar credenciales, como modificar la entrada del registro UseLogonCredential para activar la caché de credenciales WDigest, o usar el Administrador de tareas para volcar las credenciales LSASS; para ambas técnicas de ataque, el actor de la amenaza debe obtener privilegios administrativos locales para modificar estos recursos. La regla de reducción de superficie de ataque para bloquear el robo de credenciales de LSASS puede limitar la efectividad de este tipo de ataque y, en un sentido más amplio, limitar el uso de derechos de administrador local por parte de los usuarios finales. Asegurarse de que las contraseñas de administrador local no se compartan a través del entorno también puede reducir el riesgo de estas técnicas de volcado LSASS.
También hemos observado que, tras obtener las credenciales de administrador, Storm-1175 ha utilizado un script para recuperar contraseñas del software de respaldo Veeam, que se utiliza para conectarse a hosts remotos, para permitir así el despliegue de ransomware en sistemas conectados adicionales.
Con suficientes privilegios, Storm-1175 puede entonces usar herramientas como PsExec para pivotar a un Controlador de Dominio, donde ha accedido al volcado NTDS.dit, una copia de la base de datos de Active Directory que contiene datos de usuario y contraseñas que pueden ser descifradas sin conexión. Esta posición privilegiada también ha otorgado a Storm-1175 acceso al gestor de cuentas de seguridad (SAM, por sus siglas en inglés), que proporciona configuración y ajustes de seguridad detallados, lo que permite al atacante comprender y manipular el entorno del sistema a una escala mucho mayor.
Manipulación de seguridad para la entrega de ransomware
Storm-1175 modifica la configuración de Microsoft Defender Antivirus almacenada en el registro para manipular el software antivirus y evitar que bloquee cargas útiles de ransomware; para lograr esto, un atacante debe tener acceso a cuentas con altos privilegios que puedan modificar el registro de manera directa. Por esta razón, priorizar las alertas relacionadas con el robo de credenciales, que por lo general indican un atacante activo en el entorno, es esencial para responder a señales de ransomware y evitar que los atacantes obtengan acceso privilegiado a la cuenta.
Storm-1175 también ha utilizado comandos PowerShell codificados para añadir la unidad C: a la ruta de exclusión del antivirus, lo que impide que la solución de seguridad escanee la unidad y permite que las cargas útiles se ejecuten sin alertas. Los defensores pueden reforzar estas técnicas a través de combinar la protección contra manipulaciones con la configuración DisableLocalAdminMerge, que impide que los atacantes utilicen privilegios de administrador local para establecer exclusiones antivirus.
Exfiltración de datos y despliegue de ransomware
Como otras ofertas de ransomware como servicio (RaaS), Medusa ofrece un sitio de filtraciones para facilitar operaciones de doble extorsión para sus afiliados: los atacantes no solo cifran datos, sino que los roban y los retienen como rehenes, para después amenazar con filtrar los archivos de manera pública si no se paga el rescate. Con ese fin, Storm-1175 suele usar Bandizip para recopilar archivos y Rclone para la exfiltración de datos. Herramientas de sincronización de datos como Rclone permiten a los actores amenazantes transferir con facilidad grandes volúmenes de datos a un recurso en la nube propiedad de un atacante remoto. Estas herramientas también proporcionan capacidades de sincronización de datos, al mover archivos recién creados o actualizados a recursos en la nube en tiempo real para permitir una exfiltración continua en todas las etapas del ataque sin necesidad de interacción del atacante.
Por último, tras haber conseguido suficiente acceso a toda la red, Storm-1175 utiliza con frecuencia PDQ Deployer para lanzar un script (RunFileCopy.cmd) y entregar cargas útiles de ransomware Medusa. En algunos casos, Storm-1175 ha utilizado de manera alternativo acceso con altos privilegios para crear una actualización de la Política de Grupo que despliegue ransomware de forma generalizada.
Directrices de mitigación y protección
Para defenderse de los TTP Storm-1175 y actividades similares, Microsoft recomienda las siguientes medidas de mitigación:
Utilizar una herramienta de escaneo perimetral como Microsoft Defender External Attack Surface Management para entender la huella digital y la superficie potencial de ataque de tu organización. Atacar vulnerabilidades que se enfrentan a la web sigue como uno de los métodos de ataque más efectivos para el acceso inicial.
Asegurarse de que cualquier sistema orientado a la web esté aislado de la red pública con un límite de red seguro y accede a ellos mediante una red privada virtual (VPN, por sus siglas en inglés). Si ciertos servidores deben ser accesibles en internet público, colóquenlos detrás de un cortafuegos de aplicaciones web (WAF, por sus siglas en inglés),un proxy inverso o una red perimetral (también conocida como DMZ), lo que puede reducir el riesgo de explotación de vulnerabilidades en algunos casos.
Sigan las directrices sobre defensa contra ransomware en la entrada del blog de Microsoft sobre ransomware como servicio, que detalla cómo mejorar la higiene de credenciales así como cómo limitar el movimiento lateral a través del principio de menor privilegio.
Implementar Credential Guard, una característica de seguridad crítica que protege las credenciales almacenadas en la memoria del proceso, en la lsass.exe de procesos LSA. Credential Guard está activado por defecto en Windows 11. Sin embargo, si Credential Guard estaba deshabilitado de manera previa en un dispositivo, actualizar un dispositivo a Windows 11 no anula esa configuración, y Credential Guard tendrá que volver a activarse. Además, Credential Guard debe estar habilitado antes de que un dispositivo se una a un dominio o antes de que un usuario de dominio inicie sesión por primera vez. Si Credential Guard está habilitado tras la unión al dominio, los secretos de usuario y dispositivo pueden estar ya comprometidos. Credential Guard puede activarse mediante la Política de Grupo, el registro o Microsoft Intune.
Activar las funciones de protección contra manipulaciones a nivel de inquilino para evitar que los atacantes detengan los servicios de seguridad o utilicen exclusiones antivirus. Sin protección contra manipulaciones, los atacantes podrían tan solo desactivar el Antivirus Microsoft Defender sin necesidad de obtener mayores privilegios.
Si hay un problema con un dispositivo durante el despliegue de varias funciones antivirus, el dispositivo puede colocarse en modo de solución de problemas para desactivar de manera temporal la Protección contra Manipulaciones sin afectar la política de seguridad organizacional en general.
Para los sistemas RMM aprobados usados en tu entorno, aplicar ajustes de seguridad siempre que sea posible para implementar MFA. Si se detecta una instalación RMM no aprobada en su red, restablezcan las contraseñas de las cuentas usadas para instalar los servicios RMM. Si se utilizó una cuenta a nivel de sistema para instalar el software, puede ser necesario investigar más a fondo.
Configurar la interrupción automática de ataques en Microsoft Defender XDR. La interrupción automática de ataques está diseñada para contener los ataques en curso, limitar el impacto en los activos de una organización y proporcionar más tiempo a los equipos de seguridad para remediar completamente el ataque.
Bloquear creaciones de procesos originadas a partir de comandos PSExec y WMI (Algunas organizaciones pueden experimentar problemas de compatibilidad con esta regla en ciertos sistemas de servidor, pero deberían desplegarla en otros sistemas para evitar movimientos laterales provenientes de PsExec y WMI).
Los clientes de Microsoft Defender pueden consultar la lista de detecciones aplicables a continuación. Microsoft Defender coordina la detección, prevención, investigación y respuesta entre terminales, identidades, correo electrónico y aplicaciones para proporcionar protección integrada contra ataques como la amenaza que se discute en este blog.
Táctica
Actividad observada
Cobertura de Microsoft Defender
Acceso inicial
Storm-1174 explota aplicaciones vulnerables orientadas a la web
Microsoft Defender for Endpoint – Actor amenazante vinculado a ransomware detectado – Posible explotación de vulnerabilidad de software Beyond Trust – Posible explotación de vulnerabilidad de GoAnywhere MFT – Posible explotación de vulnerabilidad de SAP NetWeaver Posible explotación de la vulnerabilidad TeamCity de JetBrain – Ejecución de comandos sospechosos vía ScreenConnect – Servicio sospechoso lanzado
Persistencia y escalada de privilegios
Storm-1175 crea nuevas cuentas de usuario bajo grupos administrativos con el comando net
Microsoft Defender para Endpoint – Cuenta de usuario creada en circunstancias sospechosas – Nuevo administrador local añadido por medio de comandos de red – Nuevo grupo añadido de forma sospechosa – Creación de cuenta sospechosa – Manipulación sospechosa de cuentas de Windows – Búsquedas anómalas de cuentas
Robo de credenciales
Storm-1175 vuelca credenciales de LSASS o utiliza una posición privilegiada del Controlador de Dominio para acceder a NTDS.dit y a la colmena SAM
Microsoft Defender Antivirus– Comportamiento: Win32/SAMDumpz
Microsoft Defender for Endpoint – Credenciales expuestas en riesgo de compromiso – Credenciales de cuenta comprometidas – Volcado de memoria del proceso
Persistencia, movimiento lateral
Storm-1175 utiliza herramientas RMM para persistencia, entrega de carga útil y movimiento lateral
Microsoft Defender para Endpoint – Actividad sospechosa de Atera – Archivo eliminado y lanzado desde una ubicación remota
Ejecución
Storm-1175 ofrece herramientas como PsExec o utiliza LOLbins como PowerShell para realizar actividades posteriores a compromisos
Microsoft Defender Antivirus – Comportamiento: Win32/Psexec Microsoft Defender remoto
Microsoft Defender para endpoint – Ataque manual con teclado que involucra múltiples dispositivos – Software de acceso remoto – Línea de comandos sospechosa de PowerShell – Descarga sospechosa de PowerShell o ejecución codificada de comandos – Actor amenazante vinculado a ransomware detectado
Exfiltración
Storm-1175 utiliza la herramienta de sincronización Rclone para robar documentos
Microsoft Defender para Endpoint – Posible actividad maliciosa operada por humanos – Renombramiento de herramientas legítimas para posible exfiltración de datos – Posible exfiltración de datos – Intento oculto de lanzamiento de herramienta de doble uso
Evasión de defensa
Storm-1175 desactiva Windows Defender
Microsoft Defender para Endpoint – Emisión de detección de Defender – Intento de desactivar la protección antivirus de Microsoft Defender
Impacto
Storm-1175 despliega el ransomware Medusa
Microsoft Defender Antivirus – Rescate: Win32/Medusa
Microsoft Defender para Endpoint – Posible actividad de ransomware basada en una extensión maliciosa conocida – Posible cuenta de usuario comprometida que entrega archivos relacionados con ransomware – Activos en potencia comprometidos que exhiben comportamientos similares a ransomware – Comportamiento de ransomware detectado en el sistema de archivos – Archivo lanzado y lanzado desde una ubicación remota
Microsoft Security Copilot
Microsoft Security Copilot está integrado en Microsoft Defender y proporciona a los equipos de seguridad capacidades impulsadas por IA para resumir incidentes, analizar archivos y scripts, resumir identidades, usar respuestas guiadas y generar resúmenes de dispositivos, consultas de búsqueda e informes de incidentes.
Security Copilot también está disponible como una experiencia independiente donde los clientes pueden realizar tareas específicas relacionadas con la seguridad, como la investigación de incidentes, el análisis de usuarios y la evaluación del impacto en vulnerabilidades. Además, Security Copilot ofrece escenarios para desarrolladores que permiten a los clientes crear, probar, publicar e integrar agentes y plugins de IA para satisfacer necesidades de seguridad únicas.
Informes de inteligencia sobre amenazas
Los clientes de Microsoft Defender XDR pueden utilizar los siguientes informes de análisis de amenazas en el portal Defender (requiere licencia para al menos un producto Defender XDR) para obtener la información más actualizada sobre el actor de la amenaza, la actividad maliciosa y las técnicas discutidas en este blog. Estos informes proporcionan la inteligencia, la información de protección y las acciones recomendadas para prevenir, mitigar o responder a las amenazas asociadas encontradas en los entornos de los clientes.
9632d7e4a87ec12fdd05ed3532f7564526016b78972b2cd49a610354d672523c *Tengan en cuenta que también hemos visto este hash en intrusiones de ransomware por parte de otros actores amenazantes desde 2024
Para recibir notificaciones sobre nuevas publicaciones y participar en debates en redes sociales, síganos en LinkedIn, X (antes Twitter) y Bluesky.
Para escuchar historias y opiniones de la comunidad de Microsoft Threat Intelligence sobre el panorama de amenazas en constante evolución, escuchen el podcast Microsoft Threat Intelligence.
The post Storm-1175 centra la atención en activos vulnerables que se conectan a la web en operaciones de ransomware Medusa de alta velocidad appeared first on Source LATAM.
The Apache Spark troubleshooting agent and upgrade agent for Amazon EMR are now available as Kiro powers, bringing one-click access to AI-assisted Spark operations directly in Kiro. With these powers, data engineers can reduce troubleshooting time from hours to minutes and compress Spark version upgrades from months to weeks.
When a Spark job fails, the troubleshooting power identifies the root cause by analyzing logs, metrics, and configurations across EMR on EC2 and EMR Serverless, and provides specific code recommendations for PySpark applications. The upgrade power automates Spark version upgrades, such as moving from EMR 6.5 to EMR 7.12, by handling code transformation and dependency resolution through remote validation and data quality comparison on EMR. Both powers connect to Spark agents through MCP Proxy for AWS with IAM role-based authentication, and all actions are recorded in AWS CloudTrail for full auditability..
The Apache Spark troubleshooting and upgrade powers are available with Amazon EMR in all AWS commercial regions. To get started, install the Apache Spark troubleshooting power or the upgrade power from the Kiro IDE. For more information, see the troubleshooting agent and upgrade agent documentation.
The Apache Spark troubleshooting agent and upgrade agent for Amazon EMR are now available as Kiro powers, bringing one-click access to AI-assisted Spark operations directly in Kiro. With these powers, data engineers can reduce troubleshooting time from hours to minutes and compress Spark version upgrades from months to weeks. When a Spark job fails, the troubleshooting power identifies the root cause by analyzing logs, metrics, and configurations across EMR on EC2 and EMR Serverless, and provides specific code recommendations for PySpark applications. The upgrade power automates Spark version upgrades, such as moving from EMR 6.5 to EMR 7.12, by handling code transformation and dependency resolution through remote validation and data quality comparison on EMR. Both powers connect to Spark agents through MCP Proxy for AWS with IAM role-based authentication, and all actions are recorded in AWS CloudTrail for full auditability..
The Apache Spark troubleshooting and upgrade powers are available with Amazon EMR in all AWS commercial regions. To get started, install the Apache Spark troubleshooting power or the upgrade power from the Kiro IDE. For more information, see the troubleshooting agent and upgrade agent documentation.
