Oferta rabatowa na wiele licencji
Baza danych zagrożeń Oprogramowanie wymuszające okup Atak ransomware Scattered Spider

Atak ransomware Scattered Spider

Do Mezo w Oprogramowanie wymuszające okup, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

Scattered Spider, wyrafinowana i agresywna grupa cyberprzestępcza, zintensyfikowała ataki na hiperwizory VMware ESXi. Działania grupy, skierowane do kluczowych sektorów, takich jak handel detaliczny, linie lotnicze i transport w Ameryce Północnej, są przemyślane, celowe i niezwykle skuteczne. Ich sukces nie tkwi w lukach w oprogramowaniu, ale w biegłości w socjotechnice i manipulacji zaufanymi systemami.

Taktyka bez exploitów: inżynieria społeczna w centrum uwagi

Zamiast wykorzystywać luki w zabezpieczeniach oprogramowania, Scattered Spider opiera się na sprawdzonej taktyce: socjotechnice telefonicznej. Grupa często kontaktuje się z działem pomocy technicznej IT, podszywając się pod legalny personel, w tym administratorów o wysokich uprawnieniach. Te połączenia są częścią szerszej strategii opartej na kampanii, co sprawia, że ich ataki są dalekie od losowych. Skrupulatnie planują swoje działania, aby atakować najbardziej wrażliwe systemy i dane w organizacji.

Aktorzy Scattered Spider są znani z rejestrowania fałszywych domen, które wiernie imitują infrastrukturę lub portale logowania swoich ofiar. Typowe wzorce nazewnictwa obejmują:

  • nazwa_ofiary-sso.com
  • nazwa_ofiary-okta.com
  • nazwa_ofiary-servicedesk.com
  • sso-nazwa_ofiary.com
  • servicenow-nazwa_ofiary.com

Od Help Desku do Hypervisora: wieloetapowy łańcuch ataków

Metodologia ataku Scattered Spider obejmuje pięć strategicznych faz, z których każda ma na celu ułatwienie dostępu i zminimalizowanie możliwości wykrycia:

Początkowy dostęp i eskalacja uprawnień
Atakujący zaczynają od socjotechniki, podszywając się pod pracowników, gromadząc dane uwierzytelniające i gromadząc wewnętrzną dokumentację. Często pozyskują dane z menedżerów haseł, takich jak HashiCorp Vault, i wykorzystują procesy wsparcia IT do resetowania haseł administratorów.

Ruch boczny do vSphere
Wykorzystując dane uwierzytelniające Active Directory mapowane na środowiska VMware, uzyskują dostęp do urządzenia vCenter Server Appliance (vCSA). Wdrażane jest narzędzie o nazwie „teleport”, które tworzy szyfrowaną powłokę odwrotną, omijającą reguły zapory sieciowej i zapewniającą trwały dostęp.

Manipulacja hiperwizorem i ekstrakcja danych
Na hostach ESXi włączany jest protokół SSH, resetowane są hasła roota, a następnie przeprowadzany jest atak typu „disk-swap”. Polega on na wyłączeniu maszyny wirtualnej kontrolera domeny, odłączeniu jej dysku wirtualnego, podłączeniu go do maszyny wirtualnej kontrolowanej przez atakującego i wyodrębnieniu bazy danych NTDS.dit przed odwróceniem procesu.

Wyłączanie mechanizmów odzyskiwania
Zadania kopii zapasowych, migawki i repozytoria są usuwane w celu uniemożliwienia odzyskiwania danych i wzmocnienia skutków ataku.

Wdrażanie oprogramowania ransomware
Spersonalizowane pliki binarne oprogramowania ransomware są przesyłane za pośrednictwem protokołu SCP lub SFTP do zainfekowanych hostów ESXi, co powoduje zaszyfrowanie kluczowych systemów w całym środowisku wirtualnym.

Szybkość i skradanie się rozproszonego pająka

To, co wyróżnia Scattered Spider, znanego również pod pseudonimami takimi jak 0ktapus, Muddled Libra, Octo Tempest i UNC3944, od tradycyjnych ataków ransomware, to szybkość i ukrycie ich działań. Eksperci zauważają, że cały atak, od pierwszego dostępu do systemu do wdrożenia ransomware, może nastąpić w ciągu zaledwie kilku godzin. W niektórych przypadkach ponad 100 GB danych zostało wykradzionych w mniej niż 48 godzin. Grupa jest również powiązana z programem ransomware DragonForce, co jeszcze bardziej zwiększa jej możliwości.

Zmiana strategii obronnych: od EDR do bezpieczeństwa skoncentrowanego na infrastrukturze

Ze względu na charakter tych ataków, standardowe narzędzia do wykrywania i reagowania na ataki na punktach końcowych (EDR) mogą okazać się niewystarczające. Obrona przed atakiem Scattered Spider wymaga holistycznego podejścia skoncentrowanego na infrastrukturze. Zdecydowanie zalecana jest następująca, wielowarstwowa strategia obrony:

Warstwa 1: vSphere i wzmocnienie hiperwizora

  • Włącz tryb blokady w vSphere
  • Wymuś execInstalledOnly
  • Użyj szyfrowania maszyn wirtualnych
  • Wycofaj nieużywane i przestarzałe maszyny wirtualne.
  • Zabezpiecz i przeszkol dział pomocy technicznej przed metodami podszywania się.

Warstwa 2: Ochrona tożsamości i dostępu

  • Wdrożenie uwierzytelniania wieloskładnikowego (MFA) odpornego na phishing.
  • Oddziel krytyczną infrastrukturę tożsamości.
  • Unikaj cyklicznych zależności uwierzytelniania, które mogą zostać wykorzystane przez atakujących.

Warstwa 3: Monitorowanie i izolacja kopii zapasowych

  • Centralizacja monitorowania logów z poziomu kluczowej infrastruktury.
  • Izoluj kopie zapasowe od dostępu do usługi Active Directory.
  • Upewnij się, że kopie zapasowe będą niedostępne nawet dla naruszonych kont administratorów.

Wnioski: Nowa era ryzyka związanego z oprogramowaniem ransomware

Ataki ransomware atakujące ekosystem vSphere, a w szczególności hosty ESXi i vCenter Server, stanowią poważne zagrożenie ze względu na potencjał szybkiego i masowego zakłócania działania. Przemyślany charakter działań Scattered Spider podkreśla potrzebę ponownego przemyślenia przez organizacje swoich strategii obronnych. Ignorowanie tych zagrożeń lub opóźnianie wdrożenia zalecanych środków zaradczych może prowadzić do katastrofalnych skutków, w tym poważnych przestojów, utraty danych i strat finansowych.

Popularne

Najczęściej oglądane

Ładowanie...