Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Ataque de ransomware Scattered Spider

Ataque de ransomware Scattered Spider

Por Mezo em Ransomware, Ameaça Persistente Avançada (APT)
Traduzir Para:

O Scattered Spider, um grupo cibercriminoso sofisticado e agressivo, intensificou seus ataques contra hipervisores VMware ESXi. Visando setores-chave como varejo, companhias aéreas e transporte na América do Norte, as operações do grupo são calculadas, deliberadas e devastadoramente eficazes. Seu sucesso não reside em explorações de software, mas em seu domínio da engenharia social e da manipulação de sistemas confiáveis.

Táticas sem Exploits: Engenharia Social no Núcleo

Em vez de explorar vulnerabilidades em softwares, o Scattered Spider utiliza uma tática testada e comprovada: engenharia social por telefone. O grupo frequentemente contata help desks de TI para se passar por funcionários legítimos, incluindo administradores com altos privilégios. Essas ligações fazem parte de uma estratégia mais ampla de campanha, tornando seus ataques tudo menos aleatórios. Eles planejam meticulosamente suas operações para atingir os sistemas e dados mais sensíveis de uma organização.

Atores do tipo Scattered Spider são conhecidos por registrar domínios enganosos que imitam de perto a infraestrutura ou os portais de login de seus alvos. Padrões de nomenclatura comuns incluem:

  • nomedavítima-sso.com
  • nomedavítima-okta.com
  • nomedavítima-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Do Help Desk ao Hypervisor: A Cadeia de Ataque Multifásica

A metodologia de ataque do Scattered Spider se desdobra em cinco fases estratégicas, cada uma projetada para aumentar o acesso e minimizar a detecção:

Acesso inicial e escalonamento de privilégios
Os invasores começam com engenharia social para se passar por funcionários, coletar credenciais e reunir documentação interna. Frequentemente, extraem dados de gerenciadores de senhas como o HashiCorp Vault e exploram processos de suporte de TI para redefinir senhas de administradores.

Movimento lateral para vSphere
Utilizando credenciais do Active Directory mapeadas para ambientes VMware, eles acessam o vCenter Server Appliance (vCSA). Uma ferramenta chamada teleport é implantada para criar um shell reverso criptografado que ignora as regras de firewall e estabelece acesso persistente.

Manipulação de hipervisor e extração de dados
O SSH é habilitado em hosts ESXi, as senhas de root são redefinidas e um ataque de "troca de disco" é executado. Isso envolve desligar uma VM do Controlador de Domínio, desanexar seu disco virtual, anexá-lo a uma VM controlada pelo invasor e extrair o banco de dados NTDS.dit antes de reverter o processo.

Desabilitando mecanismos de recuperação
Trabalhos de backup, instantâneos e repositórios são excluídos para eliminar opções de recuperação e amplificar o impacto do ataque.

Implantação de Ransomware
Binários de ransomware personalizados são enviados via SCP ou SFTP para hosts ESXi comprometidos, criptografando sistemas críticos no ambiente virtual.

A velocidade e a furtividade da aranha dispersa

O que diferencia o Scattered Spider, também conhecido por pseudônimos como 0ktapus, Muddled Libra, Octo Tempest e UNC3944, dos agentes tradicionais de ransomware é a velocidade e a discrição de suas operações. Especialistas observam que todo o ataque, desde o acesso inicial até a implantação do ransomware, pode ocorrer em apenas algumas horas. Em alguns casos, mais de 100 GB de dados foram exfiltrados em menos de 48 horas. O grupo também foi vinculado ao programa de ransomware DragonForce, ampliando ainda mais suas capacidades.

Mudança nas estratégias de defesa: de EDR para segurança centrada em infraestrutura

Devido à natureza desses ataques, ferramentas padrão de detecção e resposta de endpoints (EDR) podem não ser suficientes. A defesa contra o Scattered Spider requer uma abordagem holística e centrada na infraestrutura. A seguinte estratégia de defesa em camadas é altamente recomendada:

Camada 1: reforço do vSphere e do hipervisor

  • Habilitar modo de bloqueio no vSphere
  • Aplicar execInstalledOnly
  • Usar criptografia de VM
  • Retire máquinas virtuais não utilizadas ou desatualizadas.
  • Proteja e treine o help desk contra táticas de representação.

Camada 2: Proteção de Identidade e Acesso

  • Implemente autenticação multifator (MFA) resistente a phishing.
  • Separe a infraestrutura de identidade crítica.
  • Evite dependências de autenticação circular que invasores podem explorar.

Camada 3: Monitoramento e Isolamento de Backup

  • Centralize o monitoramento de logs da infraestrutura principal.
  • Isole os backups do acesso ao Active Directory.
  • Garanta que os backups sejam inacessíveis até mesmo para contas de administrador comprometidas.

Conclusão: Uma nova era de risco de ransomware

O ransomware que tem como alvo o ecossistema vSphere, particularmente hosts ESXi e vCenter Server, representa uma grave ameaça devido ao seu potencial de interrupção rápida e em larga escala. A natureza calculada das operações do Scattered Spider destaca a necessidade de as organizações repensarem suas posturas de defesa. Ignorar esses riscos ou atrasar a implementação das contramedidas recomendadas pode levar a consequências catastróficas, incluindo tempo de inatividade grave, perda de dados e prejuízos financeiros.

Tendendo

Mais visto

Carregando...