Rabatttilbud for flere lisenser
Trusseldatabase løsepengeprogramvare Spredt edderkopp-ransomware-angrep

Spredt edderkopp-ransomware-angrep

Med Mezo i løsepengeprogramvare, Advanced Persistent Threat (APT)
Oversett til:

Scattered Spider, en sofistikert og aggressiv nettkriminalitetsgruppe, har trappet opp angrepene sine mot VMware ESXi-hypervisorer. Gruppens operasjoner er kalkulerte, bevisste og katastrofalt effektive, og retter seg mot viktige sektorer som detaljhandel, flyselskaper og transport i Nord-Amerika. Suksessen deres ligger ikke i programvareutnyttelser, men i deres mestring av sosial manipulering og manipulering av pålitelige systemer.

Taktikk uten utnyttelser: Sosial manipulering i kjernen

I stedet for å utnytte sårbarheter i programvare, bruker Scattered Spider en velprøvd taktikk: telefonbasert sosial manipulering. Gruppen kontakter ofte IT-hjelpesenter for å utgi seg for å være legitimt personell, inkludert administratorer med høye rettigheter. Disse samtalene er en del av en bredere kampanjedrevet strategi, noe som gjør angrepene deres alt annet enn tilfeldige. De planlegger operasjonene sine nøye for å målrette de mest sensitive systemene og dataene i en organisasjon.

Scattered Spider-aktører er kjent for å registrere villedende domener som tett etterligner infrastrukturen eller innloggingsportalene til målene deres. Vanlige navnemønstre inkluderer:

  • offernavn-sso.com
  • offernavn-okta.com
  • offernavn-servicedesk.com
  • sso-offernavn.com
  • servicenow-offernavn.com

Fra brukerstøtte til hypervisor: Flerfaseangrepskjeden

Angrepsmetodikken til Scattered Spider utfolder seg gjennom fem strategiske faser, hver utformet for å eskalere tilgang og minimere deteksjon:

Førstegangs tilgang og privilegiumsøkning
Angriperne begynner med sosial manipulering for å utgi seg for å være ansatte, samle inn legitimasjon og intern dokumentasjon. De henter ofte ut data fra passordbehandlere som HashiCorp Vault og utnytter IT-støtteprosesser for å tilbakestille administratorpassord.

Lateral bevegelse til vSphere
Ved å utnytte Active Directory-legitimasjon som er tilordnet VMware-miljøer, får de tilgang til vCenter Server Appliance (vCSA). Et verktøy kalt teleport distribueres for å opprette et kryptert omvendt skall som omgår brannmurregler og etablerer vedvarende tilgang.

Hypervisormanipulering og datautvinning
SSH aktiveres på ESXi-verter, root-passord tilbakestilles, og et «diskbytte»-angrep utføres. Dette innebærer å slå av en virtuell domenekontroller, koble fra den virtuelle disken, koble den til en angriperkontrollert virtuell maskin og pakke ut NTDS.dit-databasen før prosessen reverseres.

Deaktivering av gjenopprettingsmekanismer
Sikkerhetskopieringsjobber, øyeblikksbilder og databaser slettes for å eliminere gjenopprettingsalternativer og forsterke virkningen av angrepet.

Implementering av løsepengevirus
Tilpassede ransomware-binærfiler sendes via SCP eller SFTP til de kompromitterte ESXi-vertene, og krypterer kritiske systemer på tvers av det virtuelle miljøet.

Farten og snikheten til den spredte edderkoppen

Det som skiller Scattered Spider, også kjent under alias som 0ktapus, Muddled Libra, Octo Tempest og UNC3944, fra tradisjonelle ransomware-aktører, er hastigheten og snikende virkningen av operasjonene deres. Eksperter bemerker at hele angrepet, fra første tilgang til ransomware-distribusjon, kan skje i løpet av bare noen få timer. I noen tilfeller har over 100 GB med data blitt eksfiltrert på under 48 timer. Gruppen har også blitt koblet til DragonForce ransomware-programmet, noe som forsterker deres kapasiteter ytterligere.

Skiftende forsvarsstrategier: Fra EDR til infrastruktursentrert sikkerhet

På grunn av disse angrepenes natur er det ikke sikkert at standardverktøy for endepunktsdeteksjon og -respons (EDR) er tilstrekkelige. Forsvar mot spredte edderkopper krever en helhetlig, infrastruktursentrisk tilnærming. Følgende lagdelte forsvarsstrategi anbefales på det sterkeste:

Lag 1: vSphere og Hypervisor-herding

  • Aktiver låsemodus på vSphere
  • Håndhev execInstalledOnly
  • Bruk VM-kryptering
  • Pensjoner ubrukte eller utdaterte virtuelle maskiner.
  • Sikre og tren opp brukerstøtten mot etterligningstaktikker.

Lag 2: Identitets- og tilgangsbeskyttelse

  • Implementer phishing-resistent flerfaktorautentisering (MFA).
  • Segreger kritisk identitetsinfrastruktur.
  • Unngå sirkulære autentiseringsavhengigheter som angripere kan utnytte.

Lag 3: Overvåking og sikkerhetskopiering

  • Sentraliser loggovervåking fra nøkkelinfrastruktur.
  • Isoler sikkerhetskopier fra Active Directory-tilgang.
  • Sørg for at sikkerhetskopier er utilgjengelige selv for kompromitterte administratorkontoer.

Konklusjon: En ny æra med ransomware-risiko

Løsepengevirus som retter seg mot vSphere-økosystemet, spesielt ESXi-verter og vCenter Server, utgjør en alvorlig trussel på grunn av potensialet for rask og storskala forstyrrelse. Den kalkulerte naturen til Scattered Spiders drift understreker behovet for at organisasjoner revurderer sine forsvarsposisjoner. Å ignorere disse risikoene eller forsinke implementeringen av de anbefalte mottiltakene kan føre til katastrofale konsekvenser, inkludert alvorlig nedetid, datatap og økonomisk skade.

Trender

Mest sett

Laster inn...