Ponuda s popustom na više licenci
Baza prijetnji Ransomware Napad ransomwarea Scattered Spider

Napad ransomwarea Scattered Spider

Do Mezo. Ransomware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Scattered Spider, sofisticirana i agresivna skupina za kibernetički kriminal, pojačala je napade na VMware ESXi hipervizore. Ciljajući ključne sektore poput maloprodaje, zrakoplovnih tvrtki i prometa u Sjevernoj Americi, operacije grupe su proračunate, namjerne i razorno učinkovite. Njihov uspjeh ne leži u softverskim iskorištavanjima, već u njihovom majstorstvu društvenog inženjeringa i manipulacije pouzdanim sustavima.

Taktike bez iskorištavanja: Socijalni inženjering u srži

Umjesto iskorištavanja ranjivosti u softveru, Scattered Spider se oslanja na provjerenu taktiku: socijalni inženjering putem telefona. Grupa često kontaktira IT službe za korisnike kako bi se predstavljala kao legitimno osoblje, uključujući administratore s visokim privilegijama. Ovi pozivi dio su šire strategije vođene kampanjom, što njihove napade čini sve samo ne nasumičnima. Pažljivo planiraju svoje operacije kako bi ciljali najosjetljivije sustave i podatke unutar organizacije.

Akteri Scattered Spidera poznati su po registraciji obmanjujućih domena koje blisko oponašaju infrastrukturu ili portale za prijavu svojih meta. Uobičajeni obrasci imenovanja uključuju:

  • imežrtve-sso.com
  • imežrtve-okta.com
  • nazivžrtve-servicedesk.com
  • sso-nazivžrtve.com
  • servicenow-nazivžrtve.com

Od službe za korisnike do hipervizora: Višefazni lanac napada

Metodologija napada Scattered Spidera odvija se kroz pet strateških faza, od kojih je svaka osmišljena za eskalaciju pristupa i minimiziranje otkrivanja:

Početni pristup i eskalacija privilegija
Napadači započinju socijalnim inženjeringom kako bi se predstavljali kao zaposlenici, prikupljali vjerodajnice i internu dokumentaciju. Često izvlače podatke iz upravitelja lozinki poput HashiCorp Vaulta i iskorištavaju procese IT podrške za resetiranje administratorskih lozinki.

Lateralno kretanje prema vSphereu
Korištenjem Active Directory vjerodajnica mapiranih na VMware okruženja, oni pristupaju vCenter Server Applianceu (vCSA). Alat pod nazivom teleport implementira se za stvaranje šifrirane obrnute ljuske koja zaobilazi pravila vatrozida i uspostavlja trajni pristup.

Manipulacija hipervizora i izdvajanje podataka
SSH je omogućen na ESXi hostovima, root lozinke se resetiraju i izvršava se napad 'zamjene diska'. To uključuje gašenje virtualnog računala kontrolera domene, odvajanje njegovog virtualnog diska, spajanje na virtualno računalo kojim upravlja napadač i izdvajanje baze podataka NTDS.dit prije poništavanja procesa.

Onemogućavanje mehanizama oporavka
Sigurnosne kopije, snimke i repozitoriji brišu se kako bi se eliminirale mogućnosti oporavka i pojačao utjecaj napada.

Implementacija ransomwarea
Prilagođene binarne datoteke ransomwarea šalju se putem SCP-a ili SFTP-a na kompromitirane ESXi hostove, šifrirajući kritične sustave u virtualnom okruženju.

Brzina i prikrivenost raspršenog pauka

Ono što izdvaja Scattered Spider, poznatog i pod pseudonimima kao što su 0ktapus, Muddled Libra, Octo Tempest i UNC3944, od tradicionalnih aktera ransomwarea jest brzina i prikrivenost njihovih operacija. Stručnjaci napominju da se cijeli napad, od početnog pristupa do postavljanja ransomwarea, može dogoditi u roku od samo nekoliko sati. U nekim slučajevima, preko 100 GB podataka je ukradeno u manje od 48 sati. Grupa je također povezana s ransomware programom DragonForce, što dodatno pojačava njihove mogućnosti.

Promjena obrambenih strategija: od EDR-a do sigurnosti usmjerene na infrastrukturu

Zbog prirode ovih napada, standardni alati za otkrivanje i odgovor na krajnje točke (EDR) možda neće biti dovoljni. Obrana od Scattered Spidera zahtijeva holistički pristup usmjeren na infrastrukturu. Preporučuje se sljedeća slojevita obrambena strategija:

Sloj 1: vSphere i hipervizorsko osiguranje

  • Omogući način zaključavanja na vSphereu
  • Primijeni samo izvršenje (execInstalledOnly)
  • Koristi šifriranje virtualnog stroja
  • Uklonite nekorištene ili zastarjele virtualne strojeve.
  • Osigurajte i obučite službu za korisnike protiv taktika lažnog predstavljanja.

Sloj 2: Zaštita identiteta i pristupa

  • Implementirajte višefaktorsku autentifikaciju (MFA) otpornu na phishing.
  • Odvojite kritičnu infrastrukturu identiteta.
  • Izbjegavajte kružne ovisnosti autentifikacije koje napadači mogu iskoristiti.

Sloj 3: Nadzor i izolacija sigurnosnih kopija

  • Centralizirajte praćenje zapisnika iz ključne infrastrukture.
  • Izolirajte sigurnosne kopije od pristupa Active Directoryju.
  • Osigurajte da sigurnosne kopije nisu dostupne čak ni kompromitiranim administratorskim računima.

Zaključak: Novo doba rizika od ransomwarea

Ransomware koji cilja vSphere ekosustav, posebno ESXi hostove i vCenter Server, predstavlja ozbiljnu prijetnju zbog svog potencijala za brze i velike poremećaje. Proračunata priroda Scattered Spiderovih operacija naglašava potrebu da organizacije preispitaju svoje obrambene stavove. Ignoriranje ovih rizika ili odgađanje provedbe preporučenih protumjera može dovesti do katastrofalnih posljedica, uključujući ozbiljne zastoje, gubitak podataka i financijsku štetu.

U trendu

Nagledanije

Učitavam...