स्कैटर्ड स्पाइडर रैनसमवेयर हमला

स्कैटर्ड स्पाइडर, एक परिष्कृत और आक्रामक साइबर अपराध समूह, ने VMware ESXi हाइपरवाइज़र पर अपने हमले तेज़ कर दिए हैं। उत्तरी अमेरिका में खुदरा, एयरलाइन और परिवहन जैसे प्रमुख क्षेत्रों को निशाना बनाते हुए, इस समूह की गतिविधियाँ सुनियोजित, जानबूझकर और बेहद प्रभावी हैं। उनकी सफलता सॉफ़्टवेयर के दुरुपयोग में नहीं, बल्कि सोशल इंजीनियरिंग और विश्वसनीय सिस्टम में हेरफेर करने की उनकी महारत में निहित है।

शोषण रहित रणनीति: मूल में सामाजिक इंजीनियरिंग

सॉफ़्टवेयर की कमज़ोरियों का फ़ायदा उठाने के बजाय, स्कैटर्ड स्पाइडर एक परखी-परखी रणनीति पर निर्भर करता है: फ़ोन-आधारित सोशल इंजीनियरिंग। यह समूह अक्सर उच्च-विशेषाधिकार प्राप्त प्रशासकों सहित, वैध कर्मचारियों का रूप धारण करने के लिए आईटी हेल्प डेस्क से संपर्क करता है। ये कॉल एक व्यापक अभियान-संचालित रणनीति का हिस्सा हैं, जिससे उनके हमले बेतरतीब नहीं होते। वे किसी संगठन के सबसे संवेदनशील सिस्टम और डेटा को निशाना बनाने के लिए अपने अभियानों की सावधानीपूर्वक योजना बनाते हैं।

स्कैटरेड स्पाइडर एक्टर्स भ्रामक डोमेन पंजीकृत करने के लिए जाने जाते हैं जो उनके लक्ष्यों के बुनियादी ढांचे या लॉगिन पोर्टल की हूबहू नकल करते हैं। सामान्य नामकरण पैटर्न में शामिल हैं:

• victimname-sso.com
• victimname-okta.com
• victimname-servicedesk.com
• sso-victimname.com
• servicenow-victimname.com

हेल्प डेस्क से हाइपरवाइजर तक: बहु-चरणीय हमला श्रृंखला

स्कैटर्ड स्पाइडर की आक्रमण पद्धति पांच रणनीतिक चरणों के माध्यम से सामने आती है, जिनमें से प्रत्येक को पहुंच बढ़ाने और पहचान को न्यूनतम करने के लिए डिज़ाइन किया गया है:

प्रारंभिक पहुँच और विशेषाधिकार वृद्धि
हमलावर सोशल इंजीनियरिंग का इस्तेमाल करके कर्मचारियों की नकल करते हैं, उनके क्रेडेंशियल्स चुराते हैं और आंतरिक दस्तावेज़ इकट्ठा करते हैं। वे अक्सर हाशिकॉर्प वॉल्ट जैसे पासवर्ड मैनेजरों से डेटा निकालते हैं और एडमिनिस्ट्रेटर पासवर्ड रीसेट करने के लिए आईटी सपोर्ट प्रक्रियाओं का फायदा उठाते हैं।

vSphere की ओर पार्श्व गति
VMware परिवेशों से मैप किए गए Active Directory क्रेडेंशियल्स का लाभ उठाकर, वे vCenter सर्वर एप्लायंस (vCSA) तक पहुँच प्राप्त करते हैं। टेलीपोर्ट नामक एक उपकरण का उपयोग एक एन्क्रिप्टेड रिवर्स शेल बनाने के लिए किया जाता है जो फ़ायरवॉल नियमों को दरकिनार कर स्थायी पहुँच स्थापित करता है।

हाइपरवाइजर हेरफेर और डेटा निष्कर्षण
ESXi होस्ट पर SSH सक्षम किया जाता है, रूट पासवर्ड रीसेट किए जाते हैं, और एक 'डिस्क-स्वैप' हमला किया जाता है। इसमें डोमेन कंट्रोलर VM को बंद करना, उसकी वर्चुअल डिस्क को अलग करना, उसे हमलावर द्वारा नियंत्रित VM से जोड़ना, और प्रक्रिया को उलटने से पहले NTDS.dit डेटाबेस को निकालना शामिल है।

पुनर्प्राप्ति तंत्र को अक्षम करना
पुनर्प्राप्ति विकल्पों को समाप्त करने और हमले के प्रभाव को बढ़ाने के लिए बैकअप कार्य, स्नैपशॉट और रिपॉजिटरी को हटा दिया जाता है।

रैंसमवेयर परिनियोजन
कस्टम रैनसमवेयर बाइनरी को SCP या SFTP के माध्यम से समझौता किए गए ESXi होस्ट्स पर भेज दिया जाता है, जिससे वर्चुअल वातावरण में महत्वपूर्ण सिस्टम एन्क्रिप्ट हो जाते हैं।

बिखरे हुए मकड़ी की गति और चुपके

स्कैटर्ड स्पाइडर, जिसे 0ktapus, मडल्ड लिब्रा, ऑक्टो टेम्पेस्ट और UNC3944 जैसे उपनामों से भी जाना जाता है, को पारंपरिक रैंसमवेयर कर्ताओं से अलग करने वाली बात उनकी गतिविधियों की गति और गुप्तता है। विशेषज्ञों का कहना है कि प्रारंभिक पहुँच से लेकर रैंसमवेयर तैनाती तक, पूरा हमला कुछ ही घंटों में हो सकता है। कुछ मामलों में, 48 घंटों से भी कम समय में 100 जीबी से ज़्यादा डेटा चुराया गया है। इस समूह का नाम ड्रैगनफ़ोर्स रैंसमवेयर प्रोग्राम से भी जोड़ा गया है, जिससे उनकी क्षमताएँ और भी बढ़ जाती हैं।

रक्षा रणनीतियों में बदलाव: ईडीआर से बुनियादी ढांचे पर केंद्रित सुरक्षा की ओर

इन हमलों की प्रकृति के कारण, मानक एंडपॉइंट डिटेक्शन और रिस्पांस (EDR) उपकरण पर्याप्त नहीं हो सकते हैं। स्कैटरेड स्पाइडर से बचाव के लिए एक समग्र, बुनियादी ढाँचा-केंद्रित दृष्टिकोण की आवश्यकता होती है। निम्नलिखित स्तरित रक्षा रणनीति की दृढ़ता से अनुशंसा की जाती है:

परत 1: vSphere और हाइपरवाइजर हार्डनिंग

• vSphere पर लॉकडाउन मोड सक्षम करें
• केवल execInstalled लागू करें
• VM एन्क्रिप्शन का उपयोग करें
• अप्रयुक्त या पुरानी वर्चुअल मशीनों को हटा दें।
• प्रतिरूपण की रणनीति के विरुद्ध हेल्प डेस्क को सुरक्षित एवं प्रशिक्षित करें।

परत 2: पहचान और पहुँच सुरक्षा

• फ़िशिंग-प्रतिरोधी बहु-कारक प्रमाणीकरण (MFA) लागू करें।
• महत्वपूर्ण पहचान अवसंरचना को अलग करें।
• परिपत्र प्रमाणीकरण निर्भरताओं से बचें जिनका हमलावर फायदा उठा सकते हैं।

परत 3: निगरानी और बैकअप अलगाव

• प्रमुख बुनियादी ढांचे से लॉग मॉनिटरिंग को केंद्रीकृत करें।
• बैकअप को सक्रिय निर्देशिका पहुंच से अलग करें.

निष्कर्ष: रैंसमवेयर जोखिम का एक नया युग

vSphere पारिस्थितिकी तंत्र, विशेष रूप से ESXi होस्ट और vCenter सर्वर को लक्षित करने वाला रैंसमवेयर, तीव्र और बड़े पैमाने पर व्यवधान उत्पन्न करने की अपनी क्षमता के कारण एक गंभीर खतरा उत्पन्न करता है। स्कैटरेड स्पाइडर के संचालन की गणनात्मक प्रकृति संगठनों के लिए अपनी सुरक्षा रणनीति पर पुनर्विचार करने की आवश्यकता को उजागर करती है। इन जोखिमों की अनदेखी करने या अनुशंसित प्रतिउपायों के कार्यान्वयन में देरी करने से विनाशकारी परिणाम हो सकते हैं, जिनमें गंभीर डाउनटाइम, डेटा हानि और वित्तीय क्षति शामिल है।