Оферта за отстъпка за множество лицензи
База данни за заплахи Ransomware Атака на рансъмуер Scattered Spider

Атака на рансъмуер Scattered Spider

До Mezo през Ransomware, Усъвършенствана постоянна заплаха (APT)г
Превод на:

Scattered Spider, сложна и агресивна киберпрестъпна група, засили атаките си срещу хипервайзорите на VMware ESXi. Насочени към ключови сектори като търговията на дребно, авиокомпаниите и транспорта в Северна Америка, операциите на групата са пресметнати, обмислени и опустошително ефективни. Успехът им не се крие в софтуерните експлойти, а в майсторството им в социалното инженерство и манипулирането на надеждни системи.

Тактики без експлойти: Социално инженерство в основата

Вместо да експлоатира уязвимости в софтуера, Scattered Spider разчита на изпитана тактика: социално инженерство, базирано на телефонни разговори. Групата често се свързва с ИТ екипи за помощ, за да се представя за легитимен персонал, включително администратори с високи привилегии. Тези обаждания са част от по-широка стратегия, водена от кампания, което прави атаките им всичко друго, но не и случайни. Те щателно планират операциите си, за да се насочат към най-чувствителните системи и данни в организацията.

Актьорите от „Разпръснат паяк“ са известни с регистрирането на измамни домейни, които имитират инфраструктурата или порталите за вход на техните цели. Често срещани модели на именуване включват:

  • victimname-sso.com
  • victimname-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

От бюрото за помощ до хипервизора: Многофазната верига на атаките

Методологията на атаката на Scattered Spider се разгръща през пет стратегически фази, всяка от които е предназначена да ескалира достъпа и да минимизира откриването:

Първоначален достъп и ескалация на привилегиите
Нападателите започват със социално инженерство, за да се представят за служители, да събират идентификационни данни и вътрешна документация. Те често извличат данни от мениджъри на пароли като HashiCorp Vault и използват процесите на ИТ поддръжка, за да нулират администраторските пароли.

Странично движение към vSphere
Чрез използване на идентификационни данни за Active Directory, съпоставени с VMware среди, те имат достъп до vCenter Server Appliance (vCSA). Инструмент, наречен teleport, се използва за създаване на криптирана обратна обвивка, която заобикаля правилата на защитната стена и установява постоянен достъп.

Манипулация на хипервизора и извличане на данни
SSH е активиран на ESXi хостове, root паролите се нулират и се изпълнява атака „размяна на диск“. Това включва изключване на виртуална машина на домейн контролер, отделяне на виртуалния ѝ диск, свързването му към виртуална машина, контролирана от атакуващия, и извличане на базата данни NTDS.dit преди обръщане на процеса.

Деактивиране на механизмите за възстановяване
Задачите за архивиране, моментните снимки и хранилищата се изтриват, за да се елиминират опциите за възстановяване и да се усили въздействието на атаката.

Разгръщане на рансъмуер
Персонализирани двоични файлове на ransomware се изпращат чрез SCP или SFTP към компрометираните ESXi хостове, криптирайки критични системи във виртуалната среда.

Скоростта и скритността на разпръснатия паяк

Това, което отличава Scattered Spider, известен още с псевдоними като 0ktapus, Muddled Libra, Octo Tempest и UNC3944, от традиционните рансъмуер злонамерени групи, е скоростта и скритността на техните операции. Експертите отбелязват, че цялата атака, от първоначалния достъп до внедряването на рансъмуер, може да се случи само за няколко часа. В някои случаи над 100 GB данни са били откраднати за по-малко от 48 часа. Групата е свързана и с рансъмуер програмата DragonForce, което допълнително разширява възможностите им.

Промяна на отбранителните стратегии: от EDR към инфраструктурно-центрична сигурност

Поради естеството на тези атаки, стандартните инструменти за откриване и реагиране на крайни точки (EDR) може да не са достатъчни. Защитата срещу Scattered Spider изисква цялостен, инфраструктурно-центриран подход. Силно се препоръчва следната многопластова стратегия за защита:

Слой 1: vSphere и защита на хипервизора

  • Активиране на режим на заключване във vSphere
  • Прилагане на execInstalledOnly
  • Използвайте криптиране на виртуална машина
  • Отстранете неизползваните или остарели виртуални машини.
  • Осигурете сигурност и обучете екипа за помощ срещу тактики за представяне за друг човек.

Слой 2: Защита на самоличността и достъпа

  • Внедрете многофакторно удостоверяване (MFA), устойчиво на фишинг.
  • Разделяне на критична инфраструктура за идентичност.
  • Избягвайте зависимостите от кръгово удостоверяване, които атакуващите могат да използват.

Слой 3: Мониторинг и изолация на резервните копия

  • Централизирайте наблюдението на лог файлове от ключова инфраструктура.
  • Изолирайте резервните копия от достъп до Active Directory.
  • Уверете се, че резервните копия са недостъпни дори за компрометирани администраторски акаунти.

Заключение: Нова ера на риск от ransomware

Рансъмуерът, насочен към екосистемата на vSphere, по-специално към ESXi хостовете и vCenter Server, представлява сериозна заплаха поради потенциала си за бързи и мащабни смущения. Премереният характер на операциите на Scattered Spider подчертава необходимостта организациите да преосмислят своите защитни позиции. Пренебрегването на тези рискове или забавянето на прилагането на препоръчителните контрамерки може да доведе до катастрофални последици, включително сериозни прекъсвания, загуба на данни и финансови щети.

Тенденция

Android е открил измама с подслушване на телефона ви

Измамни уебсайтове
Киберзаплахите вече не се ограничават до сложен зловреден софтуер, насочен към големи корпорации. Обикновените потребители са също толкова склонни да станат жертви, често чрез тактики на социално...

Interlock RAT

Инструменти за отдалечено администриране, Усъвършенствана постоянна заплаха (APT), Ransomware
Киберпрестъпниците, стоящи зад операцията за рансъмуер Interlock, ескалират усилията си с новоразработен PHP вариант на техния персонализиран троянски кон за отдалечен достъп (RAT), Interlock RAT,...

Най-гледан

Зловреден софтуер

Фишинг, Спам
35,973
Съобщението за измама „Apple Pay Suspended“ е вид фишинг тактика, насочена към потребителите на Apple Pay. Съобщението твърди, че портфейлът на Apple Pay на потребителя е спрян и ги призовава да кликнат върху връзка, за да го възстановят. Щракването върху връзката обаче ще отведе потребителя до фалшив уебсайт, който е предназначен да открадне тяхната лична и финансова информация. Ако потребител...
Зареждане...