Útok ransomwaru Scattered Spider

V roce Mezo v roce Ransomware, Pokročilá trvalá hrozba (APT)

Přeložit do:

Scattered Spider, sofistikovaná a agresivní skupina pro kybernetickou kriminalitu, zintenzivnila své útoky proti hypervizorům VMware ESXi. Operace skupiny, zaměřené na klíčová odvětví, jako je maloobchod, letecké společnosti a doprava v Severní Americe, jsou promyšlené, úmyslné a zničujícím způsobem efektivní. Jejich úspěch nespočívá v softwarových exploitech, ale v jejich zvládnutí sociálního inženýrství a manipulace s důvěryhodnými systémy.

Obsah

Taktiky bez zneužití: Sociální inženýrství v jádru

Spíše než zneužívání zranitelností v softwaru se Scattered Spider spoléhá na osvědčenou taktiku: sociální inženýrství založené na telefonním hovoru. Skupina často kontaktuje IT linky podpory, aby se vydávala za legitimní personál, včetně administrátorů s vysokými oprávněními. Tyto hovory jsou součástí širší strategie řízené kampaní, díky čemuž jsou jejich útoky vším, jen ne náhodné. Své operace pečlivě plánují tak, aby se zaměřily na nejcitlivější systémy a data v rámci organizace.

Aktéři Scattered Spider jsou známí registrací klamavých domén, které velmi věrně napodobují infrastrukturu nebo přihlašovací portály jejich cílů. Mezi běžné vzorce pojmenování patří:

jméno oběti-sso.com
jméno oběti-okta.com
victimname-servicedesk.com
sso-victimname.com
servicenow-victimname.com

Od helpdesku k hypervizoru: Vícefázový útočný řetězec

Metodologie útoku Scattered Spider se odvíjí v pěti strategických fázích, z nichž každá je navržena tak, aby eskalovala přístup a minimalizovala detekci:

Počáteční přístup a eskalace oprávnění
Útočníci začínají se sociálním inženýrstvím, aby se vydávali za zaměstnance, shromažďovali přihlašovací údaje a interní dokumentaci. Často extrahují data ze správců hesel, jako je HashiCorp Vault, a zneužívají procesy IT podpory k resetování hesel správců.

Boční pohyb do vSphere
Využitím přihlašovacích údajů služby Active Directory namapovaných na prostředí VMware přistupují k serveru vCenter Server Appliance (vCSA). Pro vytvoření šifrovaného reverzního shellu, který obchází pravidla firewallu a zajišťuje trvalý přístup, je nasazen nástroj s názvem teleport.

Manipulace s hypervizorem a extrakce dat
Na hostitelích ESXi je povoleno SSH, hesla root jsou resetována a je proveden útok „výměny disku“. To zahrnuje vypnutí virtuálního počítače s řadičem domény, odpojení jeho virtuálního disku, jeho připojení k virtuálnímu počítači ovládanému útočníkem a extrahování databáze NTDS.dit před obrácením procesu.

Zakázání mechanismů obnovy
Zálohovací úlohy, snímky a úložiště jsou smazány, aby se eliminovaly možnosti obnovení a zesílil dopad útoku.

Nasazení ransomwaru
Vlastní binární soubory ransomwaru jsou odesílány přes SCP nebo SFTP na napadené hostitele ESXi a šifrují kritické systémy ve virtuálním prostředí.

Rychlost a nenápadnost rozptýleného pavouka

Skupina Scattered Spider, známá také pod přezdívkami jako 0ktapus, Muddled Libra, Octo Tempest a UNC3944, se od tradičních aktérů ransomwaru odlišuje rychlostí a nenápadností svých operací. Odborníci poznamenávají, že celý útok, od počátečního přístupu až po nasazení ransomwaru, může proběhnout během několika hodin. V některých případech bylo za méně než 48 hodin ukradeno přes 100 GB dat. Skupina byla také propojena s ransomwarovým programem DragonForce, což její schopnosti ještě více zesiluje.

Změna obranných strategií: Od EDR k zabezpečení zaměřenému na infrastrukturu

Vzhledem k povaze těchto útoků nemusí být standardní nástroje pro detekci a reakci na koncové body (EDR) dostačující. Ochrana proti Scattered Spider vyžaduje holistický přístup zaměřený na infrastrukturu. Důrazně se doporučuje následující vrstvená obranná strategie:

Vrstva 1: Ochrana vSphere a hypervizoru

Povolit režim uzamčení na vSphere
Vynutit execInstalledOnly
Použít šifrování virtuálního počítače
Vyřaďte nepoužívané nebo zastaralé virtuální počítače.
Zabezpečit a proškolit asistenční linku proti taktikám vydávání se za jiného uživatele.

Vrstva 2: Ochrana identity a přístupu

Implementujte vícefaktorové ověřování (MFA) odolné vůči phishingu.
Oddělte kritickou infrastrukturu identity.
Vyhněte se závislostem cyklického ověřování, které mohou útočníci zneužít.

Vrstva 3: Monitorování a izolace záloh

Centralizujte monitorování protokolů z klíčové infrastruktury.
Izolujte zálohy od přístupu k Active Directory.
Zajistěte, aby zálohy byly nepřístupné i pro ohrožené administrátorské účty.

Závěr: Nová éra rizika ransomwaru

Ransomware, který cílí na ekosystém vSphere, zejména na hostitele ESXi a vCenter Server, představuje vážnou hrozbu kvůli svému potenciálu rychlého a rozsáhlého narušení. Promyšlená povaha operací Scattered Spider zdůrazňuje potřebu, aby organizace přehodnotily své obranné postupy. Ignorování těchto rizik nebo odkládání implementace doporučených protiopatření může vést ke katastrofickým následkům, včetně závažných výpadků, ztráty dat a finančních škod.

Procesor plateb společnosti EnigmaSoft Digital River GmbH Vyhlášení bankrotu nemá dopad na ochranu zákazníků SpyHunter proti malwaru

Vyhledávání

Změnit region

Útok ransomwaru Scattered Spider

Taktiky bez zneužití: Sociální inženýrství v jádru

Od helpdesku k hypervizoru: Vícefázový útočný řetězec

Rychlost a nenápadnost rozptýleného pavouka

Změna obranných strategií: Od EDR k zabezpečení zaměřenému na infrastrukturu

Závěr: Nová éra rizika ransomwaru

Odeslat komentář

Trendy

E-mailový podvod „VÁŠ ŽIVOT JE RIZIKO“

Android odhalil podvod s odposlechem vašeho telefonu

Ecergerwagonal.com

Nejvíce shlédnuto

Co je 'msedgewebview2.exe'?

Malware

Co je Msedge.exe?