Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ransomware Atac ransomware cu păianjeni împrăștiați

Atac ransomware cu păianjeni împrăștiați

Până în Mezo în Ransomware, Amenințare persistentă avansată (APT)
Tradu in:

Scattered Spider, un grup de infracțiuni cibernetice sofisticat și agresiv, și-a intensificat atacurile împotriva hipervizorilor VMware ESXi. Vizând sectoare cheie precum comerțul cu amănuntul, companiile aeriene și transporturile din America de Nord, operațiunile grupului sunt calculate, deliberate și extrem de eficiente. Succesul lor nu constă în exploatările software, ci în stăpânirea ingineriei sociale și a manipulării sistemelor de încredere.

Tactici fără exploatări: Ingineria socială în centrul atenției

În loc să exploateze vulnerabilitățile din software, Scattered Spider se bazează pe o tactică testată și verificată: ingineria socială bazată pe telefon. Grupul contactează adesea birourile de asistență IT pentru a se da drept personal legitim, inclusiv administratori cu privilegii ridicate. Aceste apeluri fac parte dintr-o strategie mai amplă, bazată pe campanie, ceea ce face ca atacurile lor să fie orice altceva decât aleatorii. Își planifică meticulos operațiunile pentru a viza cele mai sensibile sisteme și date din cadrul unei organizații.

Actorii Scattered Spider sunt cunoscuți pentru înregistrarea de domenii înșelătoare care imită îndeaproape infrastructura sau portalurile de conectare ale țintelor lor. Modelele comune de denumire includ:

  • victimname-sso.com
  • victimname-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

De la Help Desk la Hypervisor: Lanțul de atac multifazic

Metodologia de atac a Scattered Spider se desfășoară prin cinci faze strategice, fiecare concepută pentru a escalada accesul și a minimiza detectarea:

Acces inițial și escaladarea privilegiilor
Atacatorii încep prin inginerie socială pentru a se da drept angajați, a colecta acreditări și a colecta documentație internă. Adesea, aceștia extrag date din manageri de parole precum HashiCorp Vault și exploatează procesele de asistență IT pentru a reseta parolele de administrator.

Mișcare laterală către vSphere
Prin valorificarea acreditărilor Active Directory mapate la mediile VMware, aceștia accesează vCenter Server Appliance (vCSA). Un instrument numit teleport este implementat pentru a crea un shell invers criptat care ocolește regulile firewall-ului și stabilește acces persistent.

Manipularea hipervizorului și extragerea datelor
SSH este activat pe gazdele ESXi, parolele root sunt resetate și se execută un atac de tip „disk-swap”. Aceasta implică oprirea unei mașini virtuale de tip controler de domeniu, detașarea discului său virtual, atașarea acestuia la o mașină virtuală controlată de atacator și extragerea bazei de date NTDS.dit înainte de inversarea procesului.

Dezactivarea mecanismelor de recuperare
Lucrările de backup, instantaneele și depozitele sunt șterse pentru a elimina opțiunile de recuperare și a amplifica impactul atacului.

Implementarea ransomware-ului
Fișierele binare personalizate de tip ransomware sunt trimise prin SCP sau SFTP către gazdele ESXi compromise, criptând sistemele critice din mediul virtual.

Viteza și ascuțirea păianjenului împrăștiat

Ceea ce diferențiază Scattered Spider, cunoscuți și sub pseudonime precum 0ktapus, Muddled Libra, Octo Tempest și UNC3944, de actorii tradiționali de ransomware este viteza și discreția operațiunilor lor. Experții notează că întregul atac, de la accesul inițial până la implementarea ransomware-ului, poate avea loc în doar câteva ore. În unele cazuri, peste 100 GB de date au fost exfiltrate în mai puțin de 48 de ore. Grupul a fost, de asemenea, asociat cu programul ransomware DragonForce, amplificându-le și mai mult capacitățile.

Schimbarea strategiilor de apărare: de la EDR la securitate centrată pe infrastructură

Din cauza naturii acestor atacuri, instrumentele standard de detectare și răspuns la punctele finale (EDR) pot fi insuficiente. Apărarea împotriva atacurilor Scattered Spider necesită o abordare holistică, centrată pe infrastructură. Următoarea strategie de apărare pe mai multe niveluri este recomandată insistent:

Nivelul 1: vSphere și consolidarea hipervizorului

  • Activează modul de blocare pe vSphere
  • Impune execInstalledOnly
  • Folosește criptarea mașinii virtuale
  • Retrageți mașinile virtuale neutilizate sau învechite.
  • Securizarea și instruirea biroului de asistență împotriva tacticilor de uzurpare a identității.

Nivelul 2: Protecția identității și a accesului

  • Implementați autentificarea multi-factor (MFA) rezistentă la phishing.
  • Segregați infrastructura critică de identitate.
  • Evitați dependențele circulare de autentificare pe care atacatorii le pot exploata.

Nivelul 3: Monitorizare și izolare a copiilor de rezervă

  • Centralizați monitorizarea jurnalelor din infrastructura cheie.
  • Izolați copiile de rezervă de accesul la Active Directory.
  • Asigurați-vă că backup-urile sunt inaccesibile chiar și conturilor de administrator compromise.

Concluzie: O nouă eră a riscului de ransomware

Ransomware-ul care vizează ecosistemul vSphere, în special gazdele ESXi și vCenter Server, reprezintă o amenințare gravă datorită potențialului său de a provoca perturbări rapide și la scară largă. Natura calculată a operațiunilor Scattered Spider evidențiază necesitatea ca organizațiile să își regândească posturile de apărare. Ignorarea acestor riscuri sau întârzierea implementării contramăsurilor recomandate poate duce la consecințe catastrofale, inclusiv întreruperi severe, pierderi de date și daune financiare.

Trending

Cele mai văzute

Se încarcă...