Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman Perisian tebusan Serangan Perisian Ransom Labah-labah Tersebar

Serangan Perisian Ransom Labah-labah Tersebar

Menjelang Mezo pada Perisian tebusan, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Scattered Spider, kumpulan jenayah siber yang canggih dan agresif, telah meningkatkan serangannya terhadap hipervisor VMware ESXi. Menyasarkan sektor utama seperti runcit, syarikat penerbangan dan pengangkutan di Amerika Utara, operasi kumpulan dikira, disengajakan dan sangat berkesan. Kejayaan mereka bukan terletak pada eksploitasi perisian tetapi dalam penguasaan mereka dalam kejuruteraan sosial dan manipulasi sistem yang dipercayai.

Taktik Tanpa Eksploitasi: Kejuruteraan Sosial di Teras

Daripada mengeksploitasi kelemahan dalam perisian, Scattered Spider bergantung pada taktik yang telah dicuba dan diuji: kejuruteraan sosial berasaskan telefon. Kumpulan itu sering menghubungi meja bantuan IT untuk menyamar sebagai kakitangan yang sah, termasuk pentadbir yang mempunyai keistimewaan tinggi. Panggilan ini adalah sebahagian daripada strategi yang didorong oleh kempen yang lebih luas, menjadikan serangan mereka tidak semena-mena. Mereka merancang operasi mereka dengan teliti untuk menyasarkan sistem dan data yang paling sensitif dalam sesebuah organisasi.

Pelakon Labah-labah Taburan terkenal kerana mendaftarkan domain menipu yang meniru rapat infrastruktur atau portal log masuk sasaran mereka. Corak penamaan biasa termasuk:

  • victimname-sso.com
  • victimname-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Daripada Meja Bantuan kepada Hipervisor: Rantaian Serangan Berbilang Fasa

Metodologi serangan Scattered Spider terungkap melalui lima fasa strategik, setiap satu direka untuk meningkatkan akses dan meminimumkan pengesanan:

Akses Awal dan Peningkatan Keistimewaan
Penyerang bermula dengan kejuruteraan sosial untuk menyamar sebagai pekerja, menuai kelayakan dan mengumpulkan dokumentasi dalaman. Mereka sering mengekstrak data daripada pengurus kata laluan seperti HashiCorp Vault dan mengeksploitasi proses sokongan IT untuk menetapkan semula kata laluan pentadbir.

Pergerakan Lateral ke vSphere
Dengan memanfaatkan bukti kelayakan Active Directory yang dipetakan ke persekitaran VMware, mereka mengakses vCenter Server Appliance (vCSA). Alat yang dipanggil teleport digunakan untuk mencipta cangkerang terbalik yang disulitkan yang memintas peraturan tembok api dan mewujudkan akses berterusan.

Manipulasi Hipervisor dan Pengekstrakan Data
SSH didayakan pada hos ESXi, kata laluan akar ditetapkan semula dan serangan 'pertukaran cakera' dilaksanakan. Ini melibatkan mematikan VM Pengawal Domain, menanggalkan cakera mayanya, melampirkannya pada VM dikawal penyerang dan mengekstrak pangkalan data NTDS.dit sebelum membalikkan proses.

Melumpuhkan Mekanisme Pemulihan
Kerja sandaran, syot kilat dan repositori dipadamkan untuk menghapuskan pilihan pemulihan dan menguatkan kesan serangan.

Penerapan Ransomware
Perduaan perisian tebusan tersuai ditolak melalui SCP atau SFTP ke hos ESXi yang terjejas, menyulitkan sistem kritikal merentasi persekitaran maya.

Kepantasan dan Siluman Labah-labah yang Tersebar

Apa yang membezakan Scattered Spider, juga dikenali dengan alias seperti 0ktapus, Muddled Libra, Octo Tempest dan UNC3944, selain daripada pelakon perisian tebusan tradisional ialah kepantasan dan keheningan operasi mereka. Pakar ambil perhatian bahawa keseluruhan serangan, daripada akses awal kepada penggunaan perisian tebusan, boleh berlaku dalam masa beberapa jam sahaja. Dalam sesetengah keadaan, lebih 100 GB data telah dieksfiltrasi dalam masa kurang daripada 48 jam. Kumpulan itu juga telah dikaitkan dengan program ransomware DragonForce, menguatkan lagi keupayaan mereka.

Beralih Strategi Pertahanan: Daripada EDR kepada Keselamatan Berteraskan Infrastruktur

Disebabkan sifat serangan ini, alat pengesanan dan tindak balas titik akhir standard (EDR) mungkin tidak mencukupi. Mempertahankan terhadap Scattered Spider memerlukan pendekatan holistik, berteraskan infrastruktur. Strategi pertahanan berlapis berikut amat disyorkan:

Lapisan 1: vSphere dan Pengerasan Hipervisor

  • Dayakan mod penguncian pada vSphere
  • Kuatkuasakan execInstalledOnly
  • Gunakan penyulitan VM
  • Persarakan mesin maya yang tidak digunakan atau ketinggalan zaman.
  • Lindungi dan latih meja bantuan terhadap taktik penyamaran.

Lapisan 2: Identiti dan Perlindungan Akses

  • Laksanakan pengesahan pelbagai faktor (MFA) yang tahan pancingan data.
  • Asingkan infrastruktur identiti kritikal.
  • Elakkan kebergantungan pengesahan bulat yang boleh dieksploitasi oleh penyerang.

Lapisan 3: Pemantauan dan Pengasingan Sandaran

  • Memusatkan pemantauan log daripada infrastruktur utama.
  • Asingkan sandaran daripada akses Active Directory.
  • Pastikan sandaran tidak boleh diakses walaupun kepada akaun pentadbir yang terjejas.

Kesimpulan: Era Baru Risiko Ransomware

Perisian tebusan yang menyasarkan ekosistem vSphere, terutamanya hos ESXi dan Pelayan vCenter, menimbulkan ancaman besar kerana potensinya untuk gangguan besar-besaran yang pantas. Sifat pengiraan operasi Scattered Spider menyerlahkan keperluan bagi organisasi untuk memikirkan semula postur pertahanan mereka. Mengabaikan risiko ini atau menangguhkan pelaksanaan langkah balas yang disyorkan boleh membawa kepada akibat bencana, termasuk masa henti yang teruk, kehilangan data dan kerosakan kewangan.

Trending

Paling banyak dilihat

Memuatkan...