Preventivo sconto multi-licenza
Database delle minacce Riscatto Attacco ransomware Scattered Spider

Attacco ransomware Scattered Spider

Entro Mezo nel Riscatto, Minaccia persistente avanzata (APT)
Traduci in:

Scattered Spider, un gruppo informatico sofisticato e aggressivo, ha intensificato i suoi attacchi contro gli hypervisor VMware ESXi. Prendendo di mira settori chiave come il commercio al dettaglio, le compagnie aeree e i trasporti in Nord America, le operazioni del gruppo sono calcolate, deliberate e incredibilmente efficaci. Il loro successo non risiede negli exploit software, ma nella loro padronanza dell'ingegneria sociale e della manipolazione di sistemi affidabili.

Tattiche senza exploit: l’ingegneria sociale al centro

Invece di sfruttare le vulnerabilità del software, Scattered Spider si affida a una tattica collaudata: l'ingegneria sociale telefonica. Il gruppo contatta spesso gli help desk IT per impersonare personale legittimo, inclusi amministratori con privilegi elevati. Queste chiamate fanno parte di una strategia più ampia basata su campagne mirate, rendendo i loro attacchi tutt'altro che casuali. Pianificano meticolosamente le loro operazioni per colpire i sistemi e i dati più sensibili all'interno di un'organizzazione.

Gli autori di Scattered Spider sono noti per registrare domini ingannevoli che imitano fedelmente l'infrastruttura o i portali di accesso dei loro obiettivi. I modelli di denominazione più comuni includono:

  • victimname-sso.com
  • victimname-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Dall’Help Desk all’Hypervisor: la catena di attacco multifase

La metodologia di attacco di Scattered Spider si sviluppa attraverso cinque fasi strategiche, ciascuna progettata per intensificare l'accesso e ridurre al minimo il rilevamento:

Accesso iniziale e escalation dei privilegi
Gli aggressori iniziano con l'ingegneria sociale per impersonare i dipendenti, raccogliere credenziali e documentazione interna. Spesso estraggono dati da gestori di password come HashiCorp Vault e sfruttano i processi di supporto IT per reimpostare le password degli amministratori.

Movimento laterale verso vSphere
Sfruttando le credenziali di Active Directory mappate negli ambienti VMware, accedono a vCenter Server Appliance (vCSA). Viene implementato uno strumento chiamato Teleport per creare una reverse shell crittografata che bypassa le regole del firewall e stabilisce un accesso persistente.

Manipolazione dell'hypervisor ed estrazione dei dati
SSH viene abilitato sugli host ESXi, le password di root vengono reimpostate e viene eseguito un attacco "disk-swap". Questo comporta lo spegnimento di una VM del controller di dominio, lo scollegamento del suo disco virtuale, il suo collegamento a una VM controllata dall'aggressore e l'estrazione del database NTDS.dit prima di invertire il processo.

Disabilitazione dei meccanismi di recupero
I processi di backup, gli snapshot e i repository vengono eliminati per eliminare le opzioni di ripristino e amplificare l'impatto dell'attacco.

Distribuzione di ransomware
I file binari personalizzati del ransomware vengono inviati tramite SCP o SFTP agli host ESXi compromessi, crittografando i sistemi critici nell'ambiente virtuale.

La velocità e la furtività di Scattered Spider

Ciò che distingue Scattered Spider, noto anche con alias come 0ktapus, Muddled Libra, Octo Tempest e UNC3944, dai tradizionali autori di ransomware è la velocità e la furtività delle sue operazioni. Gli esperti sottolineano che l'intero attacco, dall'accesso iniziale all'implementazione del ransomware, può verificarsi in poche ore. In alcuni casi, oltre 100 GB di dati sono stati esfiltrati in meno di 48 ore. Il gruppo è stato anche collegato al programma ransomware DragonForce, amplificandone ulteriormente le potenzialità.

Strategie di difesa in evoluzione: dall’EDR alla sicurezza incentrata sulle infrastrutture

Data la natura di questi attacchi, gli strumenti standard di rilevamento e risposta agli endpoint (EDR) potrebbero non essere sufficienti. La difesa contro Scattered Spider richiede un approccio olistico e incentrato sull'infrastruttura. Si consiglia vivamente la seguente strategia di difesa a più livelli:

Livello 1: vSphere e rafforzamento dell'hypervisor

  • Abilita la modalità di blocco su vSphere
  • Applica execInstalledOnly
  • Utilizzare la crittografia VM
  • Ritirare le macchine virtuali inutilizzate o obsolete.
  • Proteggere e formare l'help desk contro le tattiche di impersonificazione.

Livello 2: protezione dell'identità e dell'accesso

  • Implementare l'autenticazione a più fattori (MFA) a prova di phishing.
  • Separare l'infrastruttura di identità critica.
  • Evitare dipendenze di autenticazione circolari che gli aggressori potrebbero sfruttare.

Livello 3: monitoraggio e isolamento del backup

  • Centralizzare il monitoraggio dei log dall'infrastruttura chiave.
  • Isolare i backup dall'accesso ad Active Directory.
  • Assicurarsi che i backup siano inaccessibili anche agli account amministratore compromessi.

Conclusione: una nuova era di rischio ransomware

Il ransomware che prende di mira l'ecosistema vSphere, in particolare gli host ESXi e vCenter Server, rappresenta una grave minaccia a causa del suo potenziale di interruzione rapida e su larga scala. La natura calcolata delle operazioni di Scattered Spider evidenzia la necessità per le organizzazioni di riconsiderare le proprie strategie di difesa. Ignorare questi rischi o ritardare l'implementazione delle contromisure consigliate può portare a conseguenze catastrofiche, tra cui gravi tempi di inattività, perdita di dati e danni finanziari.

Tendenza

I più visti

Caricamento in corso...