Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Ransomware Atac de ransomware d'aranya dispersa

Atac de ransomware d'aranya dispersa

El Mezo el Ransomware, Amenaça persistent avançada (APT)
Traduir a:

Scattered Spider, un grup de ciberdelinqüència sofisticat i agressiu, ha intensificat els seus atacs contra els hipervisors VMware ESXi. Dirigint-se a sectors clau com el comerç minorista, les companyies aèries i el transport a Amèrica del Nord, les operacions del grup són calculades, deliberades i devastadorament efectives. El seu èxit no rau en les vulnerabilitats de programari, sinó en el seu domini de l'enginyeria social i la manipulació de sistemes de confiança.

Tàctiques sense exploits: l’enginyeria social al centre

En lloc d'explotar vulnerabilitats del programari, Scattered Spider es basa en una tàctica provada i comprovada: l'enginyeria social basada en el telèfon. El grup sovint contacta amb els serveis d'assistència informàtica per suplantar personal legítim, inclosos administradors amb privilegis elevats. Aquestes trucades formen part d'una estratègia més àmplia impulsada per una campanya, cosa que fa que els seus atacs siguin qualsevol cosa menys aleatoris. Planifiquen meticulosament les seves operacions per atacar els sistemes i les dades més sensibles d'una organització.

Els actors de Scattered Spider són coneguts per registrar dominis enganyosos que imiten de prop la infraestructura o els portals d'inici de sessió dels seus objectius. Els patrons de noms comuns inclouen:

  • nomdevíctima-sso.com
  • nomdevíctima-okta.com
  • nomdevíctima-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Del servei d’assistència a l’hipervisor: la cadena d’atac multifàsic

La metodologia d'atac de Scattered Spider es desenvolupa a través de cinc fases estratègiques, cadascuna dissenyada per escalar l'accés i minimitzar la detecció:

Accés inicial i escalada de privilegis
Els atacants comencen amb enginyeria social per suplantar empleats, recopilar credencials i documentació interna. Sovint extreuen dades de gestors de contrasenyes com ara HashiCorp Vault i exploten els processos de suport informàtic per restablir les contrasenyes d'administrador.

Moviment lateral a vSphere
Aprofitant les credencials de l'Active Directory assignades a entorns VMware, accedeixen a vCenter Server Appliance (vCSA). Es desplega una eina anomenada teleport per crear un shell invers xifrat que ignora les regles del tallafocs i estableix accés persistent.

Manipulació d'hipervisors i extracció de dades
SSH està habilitat als amfitrions ESXi, es restableixen les contrasenyes d'arrel i s'executa un atac de "disk-swap". Això implica apagar una màquina virtual de controlador de domini, desconnectar el seu disc virtual, connectar-lo a una màquina virtual controlada per l'atacant i extreure la base de dades NTDS.dit abans de revertir el procés.

Desactivació dels mecanismes de recuperació
Les tasques de còpia de seguretat, les instantànies i els repositoris s'eliminen per eliminar les opcions de recuperació i amplificar l'impacte de l'atac.

Implementació de ransomware
Els binaris de ransomware personalitzats s'envien mitjançant SCP o SFTP als hosts ESXi compromesos, xifrant els sistemes crítics a tot l'entorn virtual.

La velocitat i el sigil de l’aranya dispersa

El que diferencia Scattered Spider, també conegut per àlies com 0ktapus, Muddled Libra, Octo Tempest i UNC3944, dels actors tradicionals del ransomware és la velocitat i el sigil de les seves operacions. Els experts assenyalen que tot l'atac, des de l'accés inicial fins al desplegament del ransomware, pot ocórrer en poques hores. En alguns casos, s'han exfiltrat més de 100 GB de dades en menys de 48 hores. El grup també ha estat vinculat al programa de ransomware DragonForce, cosa que amplifica encara més les seves capacitats.

Canvi d’estratègies de defensa: de l’EDR a la seguretat centrada en la infraestructura

A causa de la naturalesa d'aquests atacs, les eines estàndard de detecció i resposta de punts finals (EDR) poden no ser suficients. La defensa contra les aranyes disperses requereix un enfocament holístic i centrat en la infraestructura. Es recomana fermament la següent estratègia de defensa per capes:

Capa 1: Enfortiment de vSphere i hipervisor

  • Activa el mode de bloqueig a vSphere
  • Força execInstalledOnly
  • Utilitza el xifratge de la màquina virtual
  • Retirar màquines virtuals no utilitzades o obsoletes.
  • Assegurar i formar el servei d'assistència contra les tàctiques d'impersonació.

Capa 2: Protecció d'identitat i accés

  • Implementar l'autenticació multifactor (MFA) resistent a la suplantació d'identitat (phishing).
  • Segregar la infraestructura d'identitat crítica.
  • Eviteu dependències d'autenticació circulars que els atacants puguin explotar.

Capa 3: Monitorització i aïllament de còpies de seguretat

  • Centralitzar la supervisió de registres des de la infraestructura clau.
  • Aïllar les còpies de seguretat de l'accés a l'Active Directory.
  • Assegureu-vos que les còpies de seguretat siguin inaccessibles fins i tot per als comptes d'administrador compromesos.

Conclusió: una nova era de risc de ransomware

El ransomware que té com a objectiu l'ecosistema vSphere, en particular els amfitrions ESXi i vCenter Server, representa una greu amenaça a causa del seu potencial de disrupció ràpida i a gran escala. La naturalesa calculada de les operacions de Scattered Spider posa de manifest la necessitat que les organitzacions repensin les seves postures de defensa. Ignorar aquests riscos o retardar la implementació de les contramesures recomanades pot tenir conseqüències catastròfiques, com ara temps d'inactivitat greus, pèrdua de dades i danys financers.

Tendència

Més vist

Carregant...