Popust za več licenc
Podjetje o grožnjah Ransomware Napad izsiljevalske programske opreme Scattered Spider

Napad izsiljevalske programske opreme Scattered Spider

Do leta Mezo leta Ransomware, Napredna trajna grožnja (APT)
Prevedi v:

Scattered Spider, sofisticirana in agresivna skupina za kibernetski kriminal, je okrepila napade na hipervizorje VMware ESXi. Skupina cilja na ključne sektorje, kot so trgovina na drobno, letalski prevozniki in promet v Severni Ameriki, njene operacije pa so premišljene, namerne in uničujoče učinkovite. Njihov uspeh ni v programskih izkoriščanjih, temveč v obvladovanju socialnega inženiringa in manipulacije zaupanja vrednih sistemov.

Taktike brez izkoriščanja: socialni inženiring v središču

Namesto izkoriščanja ranljivosti v programski opremi se Scattered Spider zanaša na preizkušeno taktiko: socialni inženiring prek telefona. Skupina pogosto kontaktira službe za IT-podporo, da bi se izdajala za legitimno osebje, vključno z administratorji z visokimi privilegiji. Ti klici so del širše strategije, ki jo vodi kampanja, zaradi česar so njihovi napadi vse prej kot naključni. Svoje operacije skrbno načrtujejo, da bi ciljali na najobčutljivejše sisteme in podatke znotraj organizacije.

Akterji Scattered Spider so znani po registraciji zavajajočih domen, ki zelo posnemajo infrastrukturo ali prijavne portale njihovih tarč. Pogosti vzorci poimenovanja vključujejo:

  • imežrtve-sso.com
  • imežrtve-okta.com
  • ime_žrtve-servicedesk.com
  • sso-imežrtve.com
  • servicenow-victimname.com

Od službe za pomoč uporabnikom do hipervizorja: večfazna napadalna veriga

Metodologija napada Scattered Spider se odvija skozi pet strateških faz, od katerih je vsaka zasnovana tako, da poveča dostop in zmanjša odkrivanje:

Začetni dostop in stopnjevanje privilegijev
Napadalci začnejo s socialnim inženiringom, da se izdajajo za zaposlene, zbirajo poverilnice in interno dokumentacijo. Pogosto pridobivajo podatke iz upraviteljev gesel, kot je HashiCorp Vault, in izkoriščajo procese IT-podpore za ponastavitev skrbniških gesel.

Bočno gibanje v vSphere
Z uporabo poverilnic Active Directory, preslikanih v okolja VMware, dostopajo do vCenter Server Appliance (vCSA). Za ustvarjanje šifrirane obratne lupine, ki zaobide pravila požarnega zidu in vzpostavi trajen dostop, je uporabljeno orodje, imenovano teleport.

Manipulacija hipervizorja in ekstrakcija podatkov
SSH je omogočen na gostiteljih ESXi, gesla root so ponastavljena in izveden je napad »zamenjave diska«. To vključuje zaustavitev navideznega računalnika krmilnika domene, odklop njegovega navideznega diska, priklop na navidezni računalnik, ki ga nadzoruje napadalec, in ekstrahiranje baze podatkov NTDS.dit, preden se postopek obrne.

Onemogočanje mehanizmov za obnovitev
Varnostna kopiranja, posnetki in repozitoriji se izbrišejo, da se odpravijo možnosti obnovitve in okrepi vpliv napada.

Uvajanje izsiljevalske programske opreme
Prilagojene binarne datoteke izsiljevalske programske opreme se prek SCP ali SFTP pošljejo na ogrožene gostitelje ESXi in šifrirajo kritične sisteme v virtualnem okolju.

Hitrost in prikritost razpršenega pajka

Kar loči Scattered Spider, znanega tudi pod vzdevki, kot so 0ktapus, Muddled Libra, Octo Tempest in UNC3944, od tradicionalnih akterjev izsiljevalske programske opreme, je hitrost in prikritost njihovega delovanja. Strokovnjaki ugotavljajo, da se lahko celoten napad, od začetnega dostopa do namestitve izsiljevalske programske opreme, zgodi v le nekaj urah. V nekaterih primerih je bilo v manj kot 48 urah ukradenih več kot 100 GB podatkov. Skupina je bila povezana tudi z izsiljevalskim programom DragonForce, kar je še povečalo njene zmogljivosti.

Spreminjanje obrambnih strategij: od EDR k varnosti, osredotočeni na infrastrukturo

Zaradi narave teh napadov standardna orodja za zaznavanje in odzivanje na končne točke (EDR) morda ne bodo zadostovala. Obramba pred napadom Scattered Spider zahteva celosten, na infrastrukturo osredotočen pristop. Zelo priporočljiva je naslednja večplastna obrambna strategija:

1. plast: vSphere in utrjevanje hipervizorja

  • Omogočite način zaklepanja v vSphere
  • Uveljavi samo execInstalled
  • Uporabite šifriranje virtualnih strojev
  • Upokojite neuporabljene ali zastarele virtualne stroje.
  • Zaščitite in usposobite službo za pomoč uporabnikom pred taktikami lažnega predstavljanja.

2. plast: Zaščita identitete in dostopa

  • Izvedite večfaktorsko overjanje (MFA), odporno proti lažnemu predstavljanju.
  • Ločite kritično identitetno infrastrukturo.
  • Izogibajte se krožnim odvisnostim pristnosti, ki jih lahko napadalci izkoristijo.

3. plast: Izolacija nadzora in varnostnega kopiranja

  • Centralizirajte spremljanje dnevnikov iz ključne infrastrukture.
  • Izolirajte varnostne kopije iz dostopa do imenika Active Directory.
  • Zagotovite, da varnostne kopije niso dostopne niti ogroženim skrbniškim računom.

Zaključek: Nova doba tveganja izsiljevalske programske opreme

Izsiljevalska programska oprema, ki cilja na ekosistem vSphere, zlasti na gostitelje ESXi in vCenter Server, predstavlja resno grožnjo zaradi svojega potenciala za hitre in obsežne motnje. Preračunljiva narava delovanja Scattered Spider poudarja potrebo, da organizacije ponovno premislijo o svojih obrambnih stališčih. Ignoriranje teh tveganj ali odlašanje z izvajanjem priporočenih protiukrepov lahko povzroči katastrofalne posledice, vključno s hudimi izpadi, izgubo podatkov in finančno škodo.

V trendu

Najbolj gledan

Nalaganje...