Útok ransomvéru Scattered Spider

Do roku Mezo v roku Ransomware, Pokročilá perzistentná hrozba (APT)

Preložiť do:

Scattered Spider, sofistikovaná a agresívna skupina zameraná na kybernetickú kriminalitu, zintenzívnila svoje útoky proti hypervízorom VMware ESXi. Operácie skupiny, zamerané na kľúčové sektory, ako je maloobchod, letecké spoločnosti a doprava v Severnej Amerike, sú premyslené, premyslené a ničivo efektívne. Ich úspech nespočíva v softvérových útokoch, ale v zvládnutí sociálneho inžinierstva a manipulácie s dôveryhodnými systémami.

Obsah

Taktiky bez zneužitia: Sociálne inžinierstvo v jadre

Namiesto zneužívania zraniteľností v softvéri sa Scattered Spider spolieha na osvedčenú taktiku: sociálne inžinierstvo založené na telefonickom prístupe. Skupina často kontaktuje IT helpdesk, aby sa vydávala za legitímnych zamestnancov vrátane správcov s vysokými oprávneniami. Tieto hovory sú súčasťou širšej stratégie riadenej kampaňou, vďaka ktorej sú ich útoky všetko, len nie náhodné. Starostlivo plánujú svoje operácie tak, aby sa zamerali na najcitlivejšie systémy a údaje v rámci organizácie.

Aktéri Scattered Spider sú známi registráciou klamlivých domén, ktoré veľmi napodobňujú infraštruktúru alebo prihlasovacie portály ich cieľov. Medzi bežné vzorce pomenovania patria:

meno_obeťi-sso.com
meno obete-okta.com
victimname-servicedesk.com
sso-nazov_obety.com
servicenow-victimname.com

Od helpdesku k hypervízoru: Viacfázový reťazec útokov

Metodika útoku Scattered Spider sa odvíja od piatich strategických fáz, z ktorých každá je navrhnutá tak, aby eskalovala prístup a minimalizovala detekciu:

Počiatočný prístup a eskalácia privilégií
Útočníci začínajú so sociálnym inžinierstvom, aby sa vydávali za zamestnancov, zhromažďovali prihlasovacie údaje a internú dokumentáciu. Často extrahujú údaje zo správcov hesiel, ako je HashiCorp Vault, a zneužívajú procesy IT podpory na obnovenie hesiel správcov.

Bočný pohyb do vSphere
Využitím prihlasovacích údajov služby Active Directory namapovaných na prostredia VMware pristupujú k serveru vCenter Server Appliance (vCSA). Na vytvorenie šifrovaného reverzného shellu, ktorý obchádza pravidlá brány firewall a zabezpečuje trvalý prístup, sa nasadí nástroj s názvom teleport.

Manipulácia s hypervízorom a extrakcia dát
Na hostiteľoch ESXi je povolený protokol SSH, heslá root sú resetované a je vykonaný útok typu „výmena disku“. To zahŕňa vypnutie virtuálneho počítača s radičom domény, odpojenie jeho virtuálneho disku, jeho pripojenie k virtuálnemu počítaču ovládanému útočníkom a extrahovanie databázy NTDS.dit pred obrátením procesu.

Zakázanie mechanizmov obnovy
Zálohovacie úlohy, snímky a úložiská sa vymažú, aby sa eliminovali možnosti obnovy a zosilnil dopad útoku.

Nasadenie ransomvéru
Vlastné binárne súbory ransomvéru sa odosielajú cez SCP alebo SFTP na napadnuté hostiteľské systémy ESXi a šifrujú kritické systémy vo virtuálnom prostredí.

Rýchlosť a nenápadnosť rozptýleného pavúka

Čo odlišuje skupinu Scattered Spider, známu aj pod prezývkami ako 0ktapus, Muddled Libra, Octo Tempest a UNC3944, od tradičných aktérov ransomvéru, je rýchlosť a nenápadnosť ich operácií. Odborníci poznamenávajú, že celý útok, od počiatočného prístupu až po nasadenie ransomvéru, sa môže uskutočniť v priebehu niekoľkých hodín. V niektorých prípadoch bolo za menej ako 48 hodín ukradnutých viac ako 100 GB dát. Skupina bola tiež prepojená s ransomvérom DragonForce, čo ešte viac posilňuje ich schopnosti.

Zmena obranných stratégií: Od EDR k bezpečnosti zameranej na infraštruktúru

Vzhľadom na povahu týchto útokov nemusia stačiť štandardné nástroje na detekciu a reakciu na koncové body (EDR). Ochrana pred Scattered Spider si vyžaduje holistický prístup zameraný na infraštruktúru. Dôrazne sa odporúča nasledujúca viacvrstvová obranná stratégia:

Vrstva 1: vSphere a hypervízorové zabezpečenie

Povoliť režim uzamknutia na vSphere
Vynútiť execInstalledOnly
Použite šifrovanie virtuálneho počítača
Vyraďte nepoužívané alebo zastarané virtuálne počítače.
Zabezpečte a vyškoľte technickú podporu proti taktikám vydávania sa za inú osobu.

Vrstva 2: Ochrana identity a prístupu

Implementujte viacfaktorové overovanie (MFA) odolné voči phishingu.
Oddeľte kritickú infraštruktúru identity.
Vyhnite sa závislostiam cyklického overovania, ktoré môžu útočníci zneužiť.

Vrstva 3: Monitorovanie a izolácia záloh

Centralizujte monitorovanie protokolov z kľúčovej infraštruktúry.
Izolujte zálohy od prístupu k službe Active Directory.
Zabezpečte, aby zálohy neboli prístupné ani pre napadnuté administrátorské účty.

Záver: Nová éra rizika ransomvéru

Ransomvér, ktorý sa zameriava na ekosystém vSphere, najmä na hostiteľské systémy ESXi a vCenter Server, predstavuje vážnu hrozbu kvôli svojmu potenciálu rýchleho a rozsiahleho narušenia. Vypočítavá povaha operácií Scattered Spider zdôrazňuje potrebu, aby organizácie prehodnotili svoje obranné postupy. Ignorovanie týchto rizík alebo odkladanie implementácie odporúčaných protiopatrení môže viesť ku katastrofickým následkom vrátane vážnych prestojov, straty údajov a finančných škôd.

Procesor platieb spoločnosti EnigmaSoft Digital River GmbH Vyhlásenie bankrotu nemá vplyv na ochranu zákazníkov SpyHunter proti škodlivému softvéru

Vyhľadávanie

Zmeniť región

Útok ransomvéru Scattered Spider

Taktiky bez zneužitia: Sociálne inžinierstvo v jadre

Od helpdesku k hypervízoru: Viacfázový reťazec útokov

Rýchlosť a nenápadnosť rozptýleného pavúka

Zmena obranných stratégií: Od EDR k bezpečnosti zameranej na infraštruktúru

Záver: Nová éra rizika ransomvéru

Odoslať komentár

Trendy

Android odhalil podvod s odpočúvaním vášho telefónu

Ecergerwagonal.com

Interlock RAT

Najviac videné

Malvér

E-mailový podvod „Geek Squad“.

Fuq.com