Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Verspreide Spider Ransomware-aanval

Verspreide Spider Ransomware-aanval

Tegen Mezo in Ransomware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Scattered Spider, een geavanceerde en agressieve cybercrimegroep, heeft zijn aanvallen op VMware ESXi-hypervisors opgevoerd. De groep richt zich op belangrijke sectoren zoals de detailhandel, luchtvaart en transport in Noord-Amerika en werkt met berekende, weloverwogen en vernietigend effectieve methoden. Hun succes ligt niet in software-exploits, maar in hun beheersing van social engineering en manipulatie van vertrouwde systemen.

Tactieken zonder exploits: sociale engineering als kern

In plaats van kwetsbaarheden in software uit te buiten, vertrouwt Scattered Spider op een beproefde tactiek: telefonische social engineering. De groep neemt vaak contact op met IT-helpdesks om zich voor te doen als legitiem personeel, waaronder beheerders met hoge rechten. Deze telefoontjes maken deel uit van een bredere campagnestrategie, waardoor hun aanvallen allesbehalve willekeurig zijn. Ze plannen hun operaties nauwgezet om de meest gevoelige systemen en gegevens binnen een organisatie aan te vallen.

Scattered Spider-actoren staan erom bekend misleidende domeinen te registreren die de infrastructuur of inlogportals van hun doelwitten nauwgezet nabootsen. Veelvoorkomende naamgevingspatronen zijn onder andere:

  • slachtoffernaam-sso.com
  • slachtoffernaam-okta.com
  • slachtoffernaam-servicedesk.com
  • sso-slachtoffernaam.com
  • servicenow-slachtoffernaam.com

Van helpdesk tot hypervisor: de multifase-aanvalsketen

De aanvalsmethode van Scattered Spider verloopt in vijf strategische fasen, die elk zijn ontworpen om de toegang te escaleren en de detectie te minimaliseren:

Initiële toegang en privilege-escalatie
De aanvallers beginnen met social engineering om zich voor te doen als werknemers, inloggegevens te verzamelen en interne documentatie te verzamelen. Vaak halen ze gegevens uit wachtwoordmanagers zoals HashiCorp Vault en misbruiken ze IT-ondersteuningsprocessen om beheerderswachtwoorden te resetten.

Laterale beweging naar vSphere
Door gebruik te maken van Active Directory-referenties die zijn toegewezen aan VMware-omgevingen, krijgen ze toegang tot de vCenter Server Appliance (vCSA). Een tool genaamd teleport wordt ingezet om een gecodeerde reverse shell te creëren die firewallregels omzeilt en permanente toegang mogelijk maakt.

Hypervisormanipulatie en gegevensextractie
SSH wordt ingeschakeld op ESXi-hosts, rootwachtwoorden worden gereset en er wordt een 'disk-swap'-aanval uitgevoerd. Dit houdt in dat een domeincontroller-VM wordt afgesloten, de virtuele schijf wordt losgekoppeld, deze wordt gekoppeld aan een door de aanvaller beheerde VM en de NTDS.dit-database wordt geëxtraheerd voordat het proces wordt teruggedraaid.

Herstelmechanismen uitschakelen
Back-uptaken, snapshots en opslagplaatsen worden verwijderd, waardoor herstelopties worden uitgesloten en de impact van de aanval wordt versterkt.

Ransomware-implementatie
Aangepaste ransomware-bestanden worden via SCP of SFTP naar de gecompromitteerde ESXi-hosts gepusht, waardoor kritieke systemen in de virtuele omgeving worden versleuteld.

De snelheid en stealth van verspreide spinnen

Wat Scattered Spider, ook bekend onder aliassen zoals 0ktapus, Muddled Libra, Octo Tempest en UNC3944, onderscheidt van traditionele ransomware-aanvallen, is de snelheid en stealth van hun operaties. Experts merken op dat de volledige aanval, van de eerste toegang tot de ransomware-implementatie, binnen slechts enkele uren kan plaatsvinden. In sommige gevallen is meer dan 100 GB aan data in minder dan 48 uur buitgemaakt. De groep is ook in verband gebracht met het DragonForce-ransomwareprogramma, wat hun mogelijkheden nog verder vergroot.

Verschuivende verdedigingsstrategieën: van EDR naar infrastructuurgerichte beveiliging

Vanwege de aard van deze aanvallen zijn standaard EDR-tools (Endpoint Detection and Response) mogelijk niet voldoende. Verdediging tegen Scattered Spider vereist een holistische, infrastructuurgerichte aanpak. De volgende gelaagde verdedigingsstrategie wordt sterk aanbevolen:

Laag 1: vSphere en hypervisorverharding

  • Vergrendelingsmodus inschakelen op vSphere
  • ExecInstalledOnly afdwingen
  • Gebruik VM-encryptie
  • Verwijder ongebruikte of verouderde virtuele machines.
  • Beveilig en train de helpdesk tegen imitatietactieken.

Laag 2: Identiteits- en toegangsbeveiliging

  • Implementeer phishingbestendige multi-factor authenticatie (MFA).
  • Scheid kritieke identiteitsinfrastructuur.
  • Vermijd circulaire authenticatieafhankelijkheden die aanvallers kunnen misbruiken.

Laag 3: Monitoring en back-upisolatie

  • Centraliseer logboekbewaking vanuit de belangrijkste infrastructuur.
  • Isoleer back-ups van Active Directory-toegang.
  • Zorg ervoor dat back-ups niet toegankelijk zijn, zelfs niet voor gecompromitteerde beheerdersaccounts.

Conclusie: een nieuw tijdperk van ransomware-risico’s

Ransomware die zich richt op het vSphere-ecosysteem, met name ESXi-hosts en vCenter Server, vormt een ernstige bedreiging vanwege de mogelijkheid tot snelle, grootschalige verstoring. De berekende aard van de activiteiten van Scattered Spider onderstreept de noodzaak voor organisaties om hun verdedigingsstrategie te herzien. Het negeren van deze risico's of het uitstellen van de implementatie van de aanbevolen tegenmaatregelen kan catastrofale gevolgen hebben, waaronder ernstige downtime, dataverlies en financiële schade.

Trending

Meest bekeken

Bezig met laden...