Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Ransomware Szétszórt pók zsarolóvírus támadás

Szétszórt pók zsarolóvírus támadás

Mezo -ra Ransomware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

A Scattered Spider, egy kifinomult és agresszív kiberbűnözői csoport, fokozta támadásait a VMware ESXi hipervizorok ellen. A csoport Észak-Amerikában olyan kulcsfontosságú ágazatokat céloz meg, mint a kiskereskedelem, a légitársaságok és a szállítmányozás. Működésük kiszámított, szándékos és pusztítóan hatékony. Sikerük nem a szoftveres támadásokban, hanem a társadalmi manipuláció és a megbízható rendszerek manipulálásának mesteri ismeretében rejlik.

Taktikák kizsákmányolás nélkül: Szociális manipuláció a lényeg

A szoftverek sebezhetőségeinek kihasználása helyett a Scattered Spider egy kipróbált és bevált taktikára támaszkodik: a telefonos social engineeringre. A csoport gyakran felveszi a kapcsolatot az informatikai helpdeskekkel, hogy legitim személyzetnek, köztük magas jogosultságú adminisztrátoroknak adja ki magát. Ezek a hívások egy szélesebb körű, kampányvezérelt stratégia részét képezik, így támadásaik korántsem véletlenszerűek. Műveleteiket aprólékosan megtervezik, hogy a szervezet legérzékenyebb rendszereit és adatait célozzák meg.

A Scattered Spider támadások arról ismertek, hogy megtévesztő domaineket regisztrálnak, amelyek szorosan utánozzák a célpontok infrastruktúráját vagy bejelentkezési portáljait. A gyakori elnevezési minták a következők:

  • áldozatnév-sso.com
  • áldozatnév-okta.com
  • áldozatnév-szolgáltatásközpont.com
  • sso-áldozatneve.com
  • servicenow-victimname.com

A helpdesktől a hipervizorig: a többfázisú támadási lánc

A Scattered Spider támadási módszertana öt stratégiai fázison keresztül bontakozik ki, amelyek mindegyike a hozzáférés fokozására és az észlelés minimalizálására szolgál:

Kezdeti hozzáférés és jogosultságok eszkalációja
A támadók a szociális manipulációval kezdik, hogy alkalmazottaknak adja ki magukat, hitelesítő adatokat szerezzenek be és belső dokumentációt gyűjtsenek. Gyakran kinyernek adatokat jelszókezelőkből, például a HashiCorp Vaultból, és az IT-támogatási folyamatokat kihasználva állítsák vissza a rendszergazdai jelszavakat.

Oldalirányú mozgás vSphere felé
A VMware környezetekhez rendelt Active Directory hitelesítő adatok felhasználásával férnek hozzá a vCenter Server Appliance-hez (vCSA). Egy teleport nevű eszköz telepítésével egy titkosított fordított shell jön létre, amely megkerüli a tűzfalszabályokat, és állandó hozzáférést biztosít.

Hipervizor manipuláció és adatkinyerés
Az SSH engedélyezve van az ESXi hosztokon, a root jelszavak visszaállnak, és egy „lemezcsere” támadást hajtanak végre. Ez magában foglalja egy tartományvezérlő virtuális gép leállítását, a virtuális lemez leválasztását, a támadó által vezérelt virtuális géphez való csatlakoztatását és az NTDS.dit adatbázis kibontását a folyamat visszafordítása előtt.

Helyreállítási mechanizmusok letiltása
A biztonsági mentési feladatok, pillanatképek és adattárak törlődnek, hogy kiküszöböljék a helyreállítási lehetőségeket és felerősítsék a támadás hatását.

Zsarolóvírus-telepítés
Az egyéni zsarolóvírus-binárisokat SCP-n vagy SFTP-n keresztül küldik a feltört ESXi-hosztokra, titkosítva a kritikus rendszereket a virtuális környezetben.

A Szétszórt Pók Sebessége és Lopakodása

A Scattered Spider, más néven 0ktapus, Muddled Libra, Octo Tempest és UNC3944, a hagyományos zsarolóvírus-üzemeltetőktől a működésük sebessége és lopakodása különbözteti meg őket. A szakértők megjegyzik, hogy a teljes támadás, a kezdeti hozzáféréstől a zsarolóvírus telepítéséig, mindössze néhány órán belül lezajlhat. Egyes esetekben több mint 100 GB adatot szivárogtattak ki kevesebb mint 48 óra alatt. A csoportot a DragonForce zsarolóvírus-programmal is összefüggésbe hozták, ami tovább erősíti képességeiket.

Változó védelmi stratégiák: az EDR-től az infrastruktúra-központú biztonságig

Ezen támadások jellegéből adódóan a szokásos végpont-észlelő és -reagáló (EDR) eszközök nem feltétlenül elegendőek. A Scattered Spider elleni védekezés holisztikus, infrastruktúra-központú megközelítést igényel. A következő rétegzett védelmi stratégia erősen ajánlott:

1. réteg: vSphere és Hypervisor megerősítés

  • Lezárási mód engedélyezése a vSphere-en
  • execInstalledOnly kényszerítése
  • Virtuálisgép-titkosítás használata
  • Vonja ki a nem használt vagy elavult virtuális gépeket a forgalomból.
  • Biztosítsa és képezze ki az ügyfélszolgálatot a személyes adatokkal való visszaélés taktikái ellen.

2. réteg: Identitás- és hozzáférésvédelem

  • Implementáljon adathalászattal szemben ellenálló többtényezős hitelesítést (MFA).
  • A kritikus identitásinfrastruktúra elkülönítése.
  • Kerüld a körkörös hitelesítési függőségeket, amelyeket a támadók kihasználhatnak.

3. réteg: Monitorozás és biztonsági mentés elkülönítése

  • Központosítsa a naplók monitorozását a kulcsfontosságú infrastruktúrából.
  • A biztonsági mentések elkülönítése az Active Directory hozzáféréstől.
  • Gondoskodjon arról, hogy a biztonsági mentések még a feltört rendszergazdai fiókok számára is hozzáférhetetlenek legyenek.

Konklúzió: A zsarolóvírus-kockázatok új korszaka

A vSphere ökoszisztémát, különösen az ESXi hosztokat és a vCenter Servert célzó zsarolóvírusok komoly fenyegetést jelentenek a gyors, nagymértékű zavarok lehetősége miatt. A Scattered Spider működésének kiszámított jellege rávilágít arra, hogy a szervezeteknek újra kell gondolniuk védelmi álláspontjukat. Ezen kockázatok figyelmen kívül hagyása vagy az ajánlott ellenintézkedések végrehajtásának késleltetése katasztrofális következményekkel járhat, beleértve a súlyos leállásokat, az adatvesztést és a pénzügyi károkat.

Felkapott

Legnézettebb

Betöltés...