Rabattilbud med flere licenser
Trusseldatabase Ransomware Spredt edderkoppevirusangreb

Spredt edderkoppevirusangreb

Med Mezo i Ransomware, Advanced Persistent Threat (APT)
Oversæt til:

Scattered Spider, en sofistikeret og aggressiv cyberkriminalitetsgruppe, har intensiveret sine angreb mod VMware ESXi hypervisorer. Gruppens operationer er beregnede, bevidste og ødelæggende effektive, og de er rettet mod nøglesektorer som detailhandel, flyselskaber og transport i Nordamerika. Deres succes ligger ikke i softwareangreb, men i deres mestring af social engineering og manipulation af betroede systemer.

Taktik uden udnyttelse: Social manipulation i kernen

I stedet for at udnytte sårbarheder i software, benytter Scattered Spider sig af en gennemprøvet taktik: telefonbaseret social engineering. Gruppen kontakter ofte IT-helpdesks for at udgive sig for at være legitimt personale, herunder administratorer med høje rettigheder. Disse opkald er en del af en bredere kampagnedrevet strategi, hvilket gør deres angreb alt andet end tilfældige. De planlægger omhyggeligt deres operationer for at målrette de mest følsomme systemer og data i en organisation.

Scattered Spider-aktører er kendt for at registrere vildledende domæner, der nøje efterligner infrastrukturen eller loginportalerne hos deres mål. Almindelige navngivningsmønstre inkluderer:

  • offernavn-sso.com
  • offernavn-okta.com
  • offernavn-servicedesk.com
  • sso-offernavn.com
  • servicenow-offernavn.com

Fra helpdesk til hypervisor: Flerfaseangrebskæden

Angrebsmetoden i Scattered Spider udfolder sig gennem fem strategiske faser, der hver især er designet til at eskalere adgang og minimere detektion:

Indledende adgang og privilegieeskalering
Angriberne starter med social engineering for at udgive sig for at være medarbejdere, indsamle legitimationsoplysninger og intern dokumentation. De udtrækker ofte data fra adgangskodeadministratorer som HashiCorp Vault og udnytter IT-supportprocesser til at nulstille administratoradgangskoder.

Lateral bevægelse til vSphere
Ved at udnytte Active Directory-legitimationsoplysninger, der er knyttet til VMware-miljøer, får de adgang til vCenter Server Appliance (vCSA). Et værktøj kaldet teleport implementeres for at oprette en krypteret reverse shell, der omgår firewallregler og etablerer permanent adgang.

Hypervisormanipulation og dataudtrækning
SSH aktiveres på ESXi-værter, root-adgangskoder nulstilles, og et 'disk-swap'-angreb udføres. Dette involverer at lukke en domænecontroller-VM ned, afmontere dens virtuelle disk, tilknytte den til en angriberkontrolleret VM og udpakke NTDS.dit-databasen, før processen vendes om.

Deaktivering af gendannelsesmekanismer
Backupjob, snapshots og lagre slettes for at eliminere gendannelsesmuligheder og forstærke angrebets virkning.

Ransomware-implementering
Brugerdefinerede ransomware-binære filer sendes via SCP eller SFTP til de kompromitterede ESXi-værter, hvilket krypterer kritiske systemer på tværs af det virtuelle miljø.

Den spredte edderkoppes hastighed og snighed

Det, der adskiller Scattered Spider, også kendt under aliaser som 0ktapus, Muddled Libra, Octo Tempest og UNC3944, fra traditionelle ransomware-aktører, er hastigheden og den diskrete håndtering af deres operationer. Eksperter bemærker, at hele angrebet, fra den første adgang til ransomware-implementering, kan finde sted inden for blot et par timer. I nogle tilfælde er over 100 GB data blevet stjålet på mindre end 48 timer. Gruppen er også blevet forbundet med DragonForce ransomware-programmet, hvilket yderligere forstærker deres muligheder.

Skiftende forsvarsstrategier: Fra EDR til infrastrukturcentreret sikkerhed

På grund af disse angrebs karakter er standardværktøjer til endpoint detection and response (EDR) muligvis ikke tilstrækkelige. Forsvar mod Scattered Spider kræver en holistisk, infrastrukturcentreret tilgang. Følgende lagdelte forsvarsstrategi anbefales kraftigt:

Lag 1: vSphere og Hypervisor-hærdning

  • Aktivér låsningstilstand på vSphere
  • Håndhæv execInstalledOnly
  • Brug VM-kryptering
  • Pensionér ubrugte eller forældede virtuelle maskiner.
  • Sikr og træn helpdesken mod efterligningstaktikker.

Lag 2: Identitets- og adgangsbeskyttelse

  • Implementer phishing-resistent multifaktor-godkendelse (MFA).
  • Adskil kritisk identitetsinfrastruktur.
  • Undgå cirkulære godkendelsesafhængigheder, som angribere kan udnytte.

Lag 3: Overvågning og backupisolering

  • Centraliser logovervågning fra nøgleinfrastruktur.
  • Isoler sikkerhedskopier fra Active Directory-adgang.
  • Sørg for, at sikkerhedskopier er utilgængelige, selv for kompromitterede administratorkonti.

Konklusion: En ny æra inden for ransomware-risiko

Ransomware, der er rettet mod vSphere-økosystemet, især ESXi-værter og vCenter Server, udgør en alvorlig trussel på grund af dets potentiale for hurtig og omfattende forstyrrelse. Den kalkulerede karakter af Scattered Spiders operationer understreger behovet for, at organisationer gentænker deres forsvarspositioner. At ignorere disse risici eller forsinke implementeringen af de anbefalede modforanstaltninger kan føre til katastrofale konsekvenser, herunder alvorlig nedetid, datatab og økonomisk skade.

Trending

Mest sete

Indlæser...