Атака вируса-вымогателя Scattered Spider
Scattered Spider, сложная и агрессивная киберпреступная группировка, активизировала атаки на гипервизоры VMware ESXi. Нацеленные на такие ключевые секторы, как розничная торговля, авиаперевозки и транспорт в Северной Америке, действия группировки тщательно продуманы, преднамеренны и невероятно эффективны. Их успех обусловлен не программными эксплойтами, а мастерским владением социальной инженерией и манипуляцией доверенными системами.
Оглавление
Тактика без подвигов: социальная инженерия в основе
Вместо эксплуатации уязвимостей программного обеспечения Scattered Spider прибегает к проверенной тактике: телефонной социальной инженерии. Группировка часто связывается со службами технической поддержки, выдавая себя за сотрудников, в том числе за администраторов с высоким уровнем привилегий. Эти звонки являются частью более масштабной стратегии, что делает их атаки далеко не случайными. Они тщательно планируют свои операции, чтобы нацелиться на самые конфиденциальные системы и данные в организации.
Злоумышленники, использующие Scattered Spider, известны регистрацией мошеннических доменов, которые точно имитируют инфраструктуру или порталы входа в систему. Распространенные шаблоны имён включают:
- имя_жертвы-sso.com
- имя_жертвы-okta.com
- имя_жертвы-servicedesk.com
- sso-victimname.com
- servicenow-victimname.com
От службы поддержки до гипервизора: многоэтапная цепочка атак
Методология атаки Scattered Spider разворачивается в пять стратегических фаз, каждая из которых предназначена для расширения доступа и минимизации обнаружения:
Первоначальный доступ и повышение привилегий
Злоумышленники начинают с социальной инженерии, выдавая себя за сотрудников, собирая учетные данные и внутреннюю документацию. Они часто извлекают данные из менеджеров паролей, таких как HashiCorp Vault, и используют процессы ИТ-поддержки для сброса паролей администраторов.
Боковое движение к vSphere
Используя учетные данные Active Directory, сопоставленные со средами VMware, они получают доступ к vCenter Server Appliance (vCSA). Для создания зашифрованного обратного шелла, обходящего правила брандмауэра и обеспечивающего постоянный доступ, используется инструмент под названием Teleport.
Манипулирование гипервизором и извлечение данных
На хостах ESXi включается SSH, сбрасываются пароли root и выполняется атака с подменой диска. Она включает в себя отключение виртуальной машины контроллера домена, отсоединение её виртуального диска, подключение его к виртуальной машине, контролируемой злоумышленником, и извлечение базы данных NTDS.dit перед обратным процессом.
Отключение механизмов восстановления
Задания резервного копирования, моментальные снимки и репозитории удаляются, чтобы исключить возможности восстановления и усилить последствия атаки.
Развертывание программ-вымогателей
Специальные двоичные файлы программ-вымогателей передаются через SCP или SFTP на скомпрометированные хосты ESXi, шифруя критически важные системы в виртуальной среде.
Скорость и скрытность рассеянного паука
Группу Scattered Spider, также известную под псевдонимами 0ktapus, Muddled Libra, Octo Tempest и UNC3944, отличает от традиционных злоумышленников, занимающихся программами-вымогателями, скорость и скрытность их действий. Эксперты отмечают, что вся атака, от первоначального доступа до развертывания программы-вымогателя, может быть осуществлена всего за несколько часов. В некоторых случаях более 100 ГБ данных было похищено менее чем за 48 часов. Группировка также была связана с программой-вымогателем DragonForce, что ещё больше расширяет её возможности.
Изменение стратегий защиты: от EDR к безопасности, основанной на инфраструктуре
Ввиду природы этих атак стандартных средств обнаружения и реагирования на конечные точки (EDR) может быть недостаточно. Защита от Scattered Spider требует комплексного подхода, ориентированного на инфраструктуру. Настоятельно рекомендуется следующая многоуровневая стратегия защиты:
Уровень 1: vSphere и усиление гипервизора
- Включить режим блокировки на vSphere
- Принудительно использовать execInstalledOnly
- Использовать шифрование виртуальной машины
- Выведите из эксплуатации неиспользуемые или устаревшие виртуальные машины.
- Обеспечьте защиту и обучите сотрудников службы поддержки противодействовать тактикам выдачи себя за другое лицо.
Уровень 2: Защита личности и доступа
- Внедрить защищенную от фишинга многофакторную аутентификацию (MFA).
- Выделите критическую инфраструктуру идентификации.
- Избегайте циклических зависимостей аутентификации, которыми могут воспользоваться злоумышленники.
Уровень 3: Мониторинг и резервная изоляция
- Централизуйте мониторинг журналов из ключевой инфраструктуры.
- Изолируйте резервные копии от доступа Active Directory.
- Гарантируйте, что резервные копии недоступны даже для скомпрометированных учетных записей администраторов.
Заключение: новая эра риска программ-вымогателей
Программы-вымогатели, нацеленные на экосистему vSphere, особенно на хосты ESXi и сервер vCenter, представляют серьёзную угрозу из-за своего потенциала быстрого и масштабного нарушения работы. Просчитанный характер действий Scattered Spider подчёркивает необходимость переосмысления организациями своих мер защиты. Игнорирование этих рисков или задержка в реализации рекомендуемых мер противодействия могут привести к катастрофическим последствиям, включая серьёзные простои, потерю данных и финансовый ущерб.
