Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ransomware Izkaisīta zirnekļa izspiedējvīrusa uzbrukums

Izkaisīta zirnekļa izspiedējvīrusa uzbrukums

Līdz Mezo. gadam Ransomware, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Scattered Spider, sarežģīta un agresīva kibernoziegumu grupa, ir pastiprinājusi uzbrukumus VMware ESXi hipervizoriem. Grupas darbības ir aprēķinātas, apzinātas un ārkārtīgi efektīvas, un tās mērķi ir tādi svarīgi sektori kā mazumtirdzniecība, aviokompānijas un transports Ziemeļamerikā. Viņu panākumi nav saistīti ar programmatūras ievainojamību izmantošanu, bet gan ar viņu prasmi veikt sociālo inženieriju un manipulēt ar uzticamām sistēmām.

Taktika bez ļaunprātīgas izmantošanas: sociālā inženierija pamatā

Tā vietā, lai izmantotu programmatūras ievainojamības, Scattered Spider paļaujas uz pārbaudītu taktiku: sociālo inženieriju pa tālruni. Grupa bieži sazinās ar IT palīdzības dienestiem, lai izliktos par likumīgiem darbiniekiem, tostarp administratoriem ar augstām privilēģijām. Šie zvani ir daļa no plašākas kampaņas stratēģijas, padarot viņu uzbrukumus nebūt nejaušus. Viņi rūpīgi plāno savas darbības, lai mērķētu uz visjutīgākajām sistēmām un datiem organizācijā.

Izkaisītie zirnekļi ir pazīstami ar maldinošu domēnu reģistrēšanu, kas ļoti līdzinās viņu mērķu infrastruktūru vai pieteikšanās portāliem. Bieži sastopamie nosaukumu modeļi ir šādi:

  • upura_nosaukums-sso.com
  • upura_nosaukums-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

No palīdzības dienesta līdz hipervizoram: daudzfāžu uzbrukumu ķēde

Scattered Spider uzbrukuma metodoloģija izvēršas piecās stratēģiskās fāzēs, katra no kurām ir paredzēta piekļuves palielināšanai un atklāšanas samazināšanai:

Sākotnējā piekļuve un privilēģiju eskalācija
Uzbrucēji sāk ar sociālo inženieriju, lai uzdotos par darbiniekiem, iegūtu akreditācijas datus un apkopotu iekšējo dokumentāciju. Viņi bieži iegūst datus no paroļu pārvaldniekiem, piemēram, HashiCorp Vault, un izmanto IT atbalsta procesus, lai atiestatītu administratora paroles.

Sānu kustība uz vSphere
Izmantojot Active Directory akreditācijas datus, kas piesaistīti VMware vidēm, viņi piekļūst vCenter Server Appliance (vCSA). Tiek izmantots rīks ar nosaukumu teleport, lai izveidotu šifrētu apgriezto apvalku, kas apiet ugunsmūra noteikumus un nodrošina pastāvīgu piekļuvi.

Hipervizora manipulācija un datu ieguve
ESXi resursdatoros tiek iespējots SSH, tiek atiestatītas root paroles un tiek veikts “diska maiņas” uzbrukums. Tas ietver domēna kontrollera virtuālās mašīnas izslēgšanu, tās virtuālā diska atvienošanu, pievienošanu uzbrucēja kontrolētai virtuālajai mašīnai un NTDS.dit datubāzes izvilkšanu pirms procesa atcelšanas.

Atjaunošanas mehānismu atspējošana
Dublējuma darbi, momentuzņēmumi un krātuves tiek dzēstas, lai likvidētu atkopšanas iespējas un pastiprinātu uzbrukuma ietekmi.

Izspiedējvīrusu izvietošana
Pielāgoti izspiedējvīrusu binārie faili tiek nosūtīti, izmantojot SCP vai SFTP, uz apdraudētajiem ESXi resursdatoriem, šifrējot kritiski svarīgas sistēmas visā virtuālajā vidē.

Izkaisītā zirnekļa ātrums un slepenība

Tas, kas atšķir Scattered Spider, kas pazīstams arī ar tādiem pseidonīmiem kā 0ktapus, Muddled Libra, Octo Tempest un UNC3944, no tradicionālajiem izspiedējvīrusu iznīcinātājiem, ir viņu darbību ātrums un slepenība. Eksperti norāda, ka viss uzbrukums, sākot no sākotnējās piekļuves līdz izspiedējvīrusu izvietošanai, var notikt tikai dažu stundu laikā. Dažos gadījumos mazāk nekā 48 stundu laikā ir nozagti vairāk nekā 100 GB datu. Grupa ir saistīta arī ar DragonForce izspiedējvīrusu programmu, vēl vairāk pastiprinot viņu spējas.

Mainīgas aizsardzības stratēģijas: no EDR līdz infrastruktūrai orientētai drošībai

Šo uzbrukumu rakstura dēļ standarta galapunktu noteikšanas un reaģēšanas (EDR) rīki var nebūt pietiekami. Aizsardzībai pret Scattered Spider ir nepieciešama holistiska, uz infrastruktūru orientēta pieeja. Stingri ieteicama šāda slāņveida aizsardzības stratēģija:

1. slānis: vSphere un hipervizora sacietēšana

  • Iespējot bloķēšanas režīmu pakalpojumā vSphere
  • Ieviest execInstalledOnly
  • Izmantot VM šifrēšanu
  • Noņemiet neizmantotās vai novecojušās virtuālās mašīnas.
  • Nodrošināt palīdzības dienesta darbinieku aizsardzību pret personības uzdošanās taktiku un apmācīt viņus.

2. slānis: identitātes un piekļuves aizsardzība

  • Ieviest pret pikšķerēšanu drošu daudzfaktoru autentifikāciju (MFA).
  • Nodalīt kritisko identitātes infrastruktūru.
  • Izvairieties no cikliskās autentifikācijas atkarībām, ko uzbrucēji var izmantot.

3. slānis: uzraudzība un rezerves kopiju izolācija

  • Centralizējiet žurnālu uzraudzību no galvenās infrastruktūras.
  • Izolējiet dublējumkopijas no piekļuves Active Directory.
  • Nodrošiniet, lai dublējumkopijas nebūtu pieejamas pat apdraudētiem administratora kontiem.

Secinājums: jauna izspiedējvīrusu riska ēra

Izspiedējvīrusi, kas vērsti pret vSphere ekosistēmu, jo īpaši ESXi resursdatoriem un vCenter Server, rada nopietnus draudus, jo tie var radīt ātrus un liela mēroga traucējumus. Scattered Spider darbību aprēķinātais raksturs uzsver nepieciešamību organizācijām pārskatīt savas aizsardzības pozīcijas. Šo risku ignorēšana vai ieteikto pretpasākumu ieviešanas atlikšana var izraisīt katastrofālas sekas, tostarp nopietnus dīkstāves laikus, datu zudumu un finansiālus zaudējumus.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,973
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...