מתקפת כופרת עכבישים מפוזרים

Scattered Spider, קבוצת פשעי סייבר מתוחכמת ואגרסיבית, הגבירה את התקפותיה נגד מערכות VMware ESXi. הקבוצה, המכוונת למגזרים מרכזיים כמו קמעונאות, חברות תעופה ותחבורה בצפון אמריקה, מחושבת, מכוונת ויעילה להחריד. הצלחתם אינה טמונה בניצול תוכנה אלא בשליטה שלהם בהנדסה חברתית ובמניפולציה של מערכות מהימנות.

טקטיקות ללא ניצול: הנדסה חברתית בבסיסה

במקום לנצל פגיעויות בתוכנה, Scattered Spider מסתמכת על טקטיקה מוכחת: הנדסה חברתית מבוססת טלפון. הקבוצה פונה לעתים קרובות למוקדי תמיכה של ה-IT כדי להתחזות לעובדים לגיטימיים, כולל מנהלים בעלי הרשאות גבוהות. שיחות אלו הן חלק מאסטרטגיה רחבה יותר המונעת על ידי קמפיין, מה שהופך את ההתקפות שלהם לכל דבר מלבד להיות אקראיות. הם מתכננים בקפידה את פעולותיהם כדי למקד את המערכות והנתונים הרגישים ביותר בתוך הארגון.

שחקני Scattered Spider ידועים ברישום דומיינים מטעים המחקים מקרוב את התשתית או פורטלי הכניסה של המטרות שלהם. דפוסי מתן שמות נפוצים כוללים:

• שם הקורבן-sso.com
• שם הקורבן-okta.com
• victimname-servicedesk.com
• sso-victimname.com
• servicenow-victimname.com

ממרכז תמיכה להיפר-ויזור: שרשרת התקיפה הרב-פאזית

מתודולוגיית ההתקפה של Scattered Spider מתפתחת דרך חמישה שלבים אסטרטגיים, שכל אחד מהם נועד להסלים את הגישה ולמזער את הגילוי:

גישה ראשונית והסלמה של הרשאות
התוקפים מתחילים בהנדסה חברתית כדי להתחזות לעובדים, לאסוף אישורים ולאסוף תיעוד פנימי. לעתים קרובות הם מחלצים נתונים ממנהלי סיסמאות כמו HashiCorp Vault ומנצלים תהליכי תמיכת IT כדי לאפס סיסמאות של מנהלי מערכת.

תנועה רוחבית ל-vSphere
על ידי מינוף אישורי Active Directory הממופים לסביבות VMware, הם ניגשים ל-vCenter Server Appliance (vCSA). כלי בשם teleport נפרס כדי ליצור מעטפת הפוכה מוצפנת שעוקפת את כללי חומת האש ומבססת גישה מתמשכת.

מניפולציה של היפר-ויזור וחילוץ נתונים
SSH מופעל במחשבי ESXi, סיסמאות root מאופסות, ומתבצעת התקפת 'החלפת דיסק'. פעולה זו כוללת כיבוי של מכונה וירטואלית מסוג Domain Controller, ניתוק הדיסק הווירטואלי שלה, חיבורה למכונה וירטואלית הנשלטת על ידי התוקף, וחילוץ מסד הנתונים NTDS.dit לפני היפוך התהליך.

השבתת מנגנוני שחזור
עבודות גיבוי, תמונות מצב ומאגרים נמחקים כדי לבטל אפשרויות שחזור ולהגביר את השפעת ההתקפה.

פריסת תוכנות כופר
קבצי כופר בינאריים מותאמים אישית נדחפים דרך SCP או SFTP למארחי ESXi שנפרצו, ומצפינים מערכות קריטיות ברחבי הסביבה הווירטואלית.

המהירות והחמקנות של עכביש מפוזר

מה שמייחד את Scattered Spider, הידועה גם בכינויים כמו 0ktapus, Muddled Libra, Octo Tempest ו-UNC3944, משחקני כופר מסורתיים הוא המהירות והחשאיות של פעולותיהם. מומחים מציינים כי כל ההתקפה, החל מהגישה הראשונית ועד לפריסת תוכנות הכופר, יכולה להתרחש תוך מספר שעות בלבד. במקרים מסוימים, מעל 100 ג'יגה-בייט של נתונים נחטפו בפחות מ-48 שעות. הקבוצה נקשרה גם לתוכנית הכופר DragonForce, מה שמגביר את יכולותיהם עוד יותר.

אסטרטגיות הגנה משתנות: מ-EDR לאבטחה ממוקדת תשתית

בשל אופיין של התקפות אלו, ייתכן שכלי זיהוי ותגובה סטנדרטיים של נקודות קצה (EDR) לא יספיקו. הגנה מפני עכביש מפוזר דורשת גישה הוליסטית, המתמקדת בתשתית. אסטרטגיית ההגנה המרובדת הבאה מומלצת מאוד:

שכבה 1: הקשחת vSphere והיפר-ויזור

• הפעלת מצב נעילה ב-vSphere
• אכוף execInstalledOnly
• השתמש בהצפנת VM
• הוציאו משימוש מכונות וירטואליות שאינן בשימוש או מיושנות.
• אבטחו והדריכו את מוקד התמיכה מפני טקטיקות התחזות.

שכבה 2: הגנה על זהות וגישה

• הטמע אימות רב-גורמי (MFA) עמיד בפני פישינג.
• הפרדת תשתית זהות קריטית.
• הימנעו מתלות אימות מעגלית שתוקפים עלולים לנצל.

שכבה 3: ניטור ובידוד גיבויים

• ריכוז ניטור יומני רישום מתשתית מרכזית.
• בידוד גיבויים מגישה ל-Active Directory.

סיכום: עידן חדש של סיכוני כופר

תוכנות כופר המכוונות למערכת האקולוגית של vSphere, ובמיוחד למארחי ESXi ו-vCenter Server, מהוות איום חמור בשל הפוטנציאל שלהן לשיבושים מהירים בקנה מידה גדול. האופי המחושב של פעילות Scattered Spider מדגיש את הצורך של ארגונים לחשוב מחדש על עמדת ההגנה שלהם. התעלמות מסיכונים אלה או עיכוב יישום אמצעי הנגד המומלצים עלולים להוביל לתוצאות קטסטרופליות, כולל השבתות חמורות, אובדן נתונים ונזק כספי.