Monen lisenssin alennustarjous
Uhatietokanta Ransomware Hajallaan oleva hämähäkkien kiristyshaittaohjelmahyökkäys

Hajallaan oleva hämähäkkien kiristyshaittaohjelmahyökkäys

Vuonna Mezo vuonna Ransomware, Advanced Persistent Threat (APT)
Käännä:

Scattered Spider, hienostunut ja aggressiivinen kyberrikollisryhmä, on tehostanut hyökkäyksiään VMware ESXi -hypervisoreita vastaan. Ryhmän toiminta on harkittua, harkittua ja tuhoisan tehokasta, ja sen kohteena ovat Pohjois-Amerikan avainsektorit, kuten vähittäiskauppa, lentoyhtiöt ja liikenne. Heidän menestyksensä ei perustu ohjelmistojen hyökkäyksiin, vaan heidän kykyynsä manipuloida sosiaalista manipulointia ja luotettavia järjestelmiä.

Taktiikoita ilman hyökkäyksiä: Sosiaalinen manipulointi ytimessä

Sen sijaan, että Scattered Spider hyödyntäisi ohjelmistojen haavoittuvuuksia, se turvautuu kokeiltuun ja testattuun taktiikkaan: puhelinpohjaiseen sosiaaliseen manipulointiin. Ryhmä ottaa usein yhteyttä IT-tukipalveluihin esiintyäkseen laillisena henkilöstönä, mukaan lukien korkean tason järjestelmänvalvojina. Nämä puhelut ovat osa laajempaa kampanjavetoista strategiaa, joten heidän hyökkäyksensä eivät ole lainkaan satunnaisia. He suunnittelevat toimintansa huolellisesti kohdistaakseen toimintansa organisaation arkaluontoisimpiin järjestelmiin ja tietoihin.

Hajallaan olevat hämähäkkitoimijat tunnetaan harhaanjohtavien verkkotunnusten rekisteröinnistä, jotka jäljittelevät tarkasti kohteidensa infrastruktuuria tai kirjautumisportaaleja. Yleisiä nimeämismalleja ovat:

  • uhrinnimi-sso.com
  • uhrinnimi-okta.com
  • uhrinnimi-palvelukeskus.com
  • sso-uhrinnimi.com
  • palvelu nyt-uhrinnimi.com

Tukipalvelusta hypervisoriksi: Monivaiheinen hyökkäysketju

Scattered Spiderin hyökkäysmenetelmä etenee viiden strategisen vaiheen kautta, joista jokainen on suunniteltu eskaloimaan pääsyä ja minimoimaan havaitsemista:

Alkuperäinen käyttöoikeus ja oikeuksien laajentuminen
Hyökkääjät aloittavat sosiaalisella manipuloinnilla tekeytyäkseen työntekijöiksi, kerätäkseen tunnistetietoja ja kerätäkseen sisäistä dokumentaatiota. He usein poimivat tietoja salasananhallintaohjelmista, kuten HashiCorp Vaultista, ja hyödyntävät IT-tuen prosesseja järjestelmänvalvojan salasanojen palauttamiseksi.

Sivuttaisliike vSphereen
Hyödyntämällä VMware-ympäristöihin yhdistettyjä Active Directory -tunnistetietoja ne pääsevät vCenter Server Applianceen (vCSA). Teleport-niminen työkalu luo salatun käänteisen kuoren, joka ohittaa palomuurisäännöt ja muodostaa pysyvän pääsyn.

Hypervisorin manipulointi ja tiedon poiminta
SSH otetaan käyttöön ESXi-isännillä, pääkäyttäjän salasanat nollataan ja suoritetaan levynvaihtohyökkäys. Tämä sisältää toimialueen ohjauskoneen virtuaalikoneen sammuttamisen, sen virtuaalilevyn irrottamisen, sen liittämisen hyökkääjän hallitsemaan virtuaalikoneeseen ja NTDS.dit-tietokannan purkamisen ennen prosessin peruuttamista.

Palautusmekanismien poistaminen käytöstä
Varmuuskopiot, tilannevedokset ja tietovarastot poistetaan palautusvaihtoehtojen poistamiseksi ja hyökkäyksen vaikutuksen vahvistamiseksi.

Kiristysohjelmien käyttöönotto
Mukautetut kiristyshaittaohjelmien binäärit lähetetään SCP:n tai SFTP:n kautta vaarantuneille ESXi-isännille, mikä salaa kriittiset järjestelmät virtuaaliympäristössä.

Hajaantuneen hämähäkin nopeus ja hiiviskely

Scattered Spiderin, joka tunnetaan myös aliasnimillä kuten 0ktapus, Muddled Libra, Octo Tempest ja UNC3944, erottaa perinteisistä kiristyshaittaohjelmatoimijoista heidän toimintansa nopeus ja huomaamattomuus. Asiantuntijat huomauttavat, että koko hyökkäys alkuperäisestä pääsystä kiristyshaittaohjelman käyttöönottoon voi tapahtua vain muutamassa tunnissa. Joissakin tapauksissa yli 100 gigatavua tietoa on vuotanut alle 48 tunnissa. Ryhmä on myös yhdistetty DragonForce-kiristyshaittaohjelmaan, mikä vahvistaa heidän kykyjään entisestään.

Muuttuvat puolustusstrategiat: EDR:stä infrastruktuurikeskeiseen turvallisuuteen

Näiden hyökkäysten luonteen vuoksi tavanomaiset päätepisteiden havaitsemis- ja reagointityökalut (EDR) eivät välttämättä riitä. Hajanaisia hämähäkkejä vastaan puolustautuminen vaatii kokonaisvaltaisen, infrastruktuurikeskeisen lähestymistavan. Seuraavaa kerrostettua puolustusstrategiaa suositellaan vahvasti:

Kerros 1: vSphere ja Hypervisor Hardening

  • Ota lukitustila käyttöön vSphere-palvelussa
  • Pakota execInstalledOnly käyttöön
  • Käytä virtuaalikoneen salausta
  • Poista käytöstä käyttämättömät tai vanhentuneet virtuaalikoneet.
  • Suojaa ja kouluta tukipalvelu henkilöllisyyden anastamisen estämiseksi.

Kerros 2: Identiteetti- ja käyttöoikeussuojaus

  • Ota käyttöön tietojenkalastelulta suojattu monivaiheinen todennus (MFA).
  • Erottele kriittinen identiteetti-infrastruktuuri.
  • Vältä kehämäisiä todennusriippuvuuksia, joita hyökkääjät voivat hyödyntää.

Kerros 3: Valvonta ja varmuuskopiointi

  • Keskitä lokien valvonta keskeisestä infrastruktuurista.
  • Eristä varmuuskopiot Active Directory -pääsyltä.
  • Varmista, että varmuuskopioihin ei pääse käsiksi edes vaarantuneilla järjestelmänvalvojan tileillä.

Johtopäätös: Kiristyshaittaohjelmien riskien uusi aikakausi

vSphere-ekosysteemiin, erityisesti ESXi-isäntäkoneisiin ja vCenter Serveriin, kohdistuvat kiristyshaittaohjelmat aiheuttavat vakavan uhan, koska ne voivat aiheuttaa nopeita ja laajamittaisia häiriöitä. Scattered Spiderin toiminnan laskelmoitu luonne korostaa organisaatioiden tarvetta miettiä uudelleen puolustusasenteitaan. Näiden riskien huomiotta jättäminen tai suositeltujen vastatoimien toteuttamisen viivästyttäminen voi johtaa katastrofaalisiin seurauksiin, kuten vakaviin käyttökatkoksiin, tietojen menetykseen ja taloudellisiin vahinkoihin.

Trendaavat

Eniten katsottu

Ladataan...