Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Ransomware Scattered Spider Ransomware Attack

Scattered Spider Ransomware Attack

Nga MezoRansomware, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

Scattered Spider, një grup i sofistikuar dhe agresiv i krimit kibernetik, ka shtuar sulmet e tij kundër hipervizorëve të VMware ESXi. Duke synuar sektorë kyç si shitjet me pakicë, linjat ajrore dhe transporti në Amerikën e Veriut, operacionet e grupit janë të llogaritura, të qëllimshme dhe jashtëzakonisht efektive. Suksesi i tyre nuk qëndron në shfrytëzimet e softuerëve, por në zotërimin e inxhinierisë sociale dhe manipulimin e sistemeve të besuara.

Taktika pa Shfrytëzime: Inxhinieria Sociale në Thelb

Në vend që të shfrytëzojë dobësitë në softuer, Scattered Spider mbështetet në një taktikë të provuar dhe të testuar: inxhinierinë sociale të bazuar në telefon. Grupi shpesh kontakton zyrat e ndihmës së IT-së për të imituar personelin legjitim, duke përfshirë administratorët me privilegje të larta. Këto thirrje janë pjesë e një strategjie më të gjerë të drejtuar nga fushata, duke i bërë sulmet e tyre gjithçka tjetër përveçse të rastësishme. Ata planifikojnë me kujdes operacionet e tyre për të synuar sistemet dhe të dhënat më të ndjeshme brenda një organizate.

Aktorët e Scattered Spider janë të njohur për regjistrimin e domeneve mashtruese që imitojnë nga afër infrastrukturën ose portalet e hyrjes së objektivave të tyre. Modelet e zakonshme të emërtimit përfshijnë:

  • emri i viktimës-sso.com
  • emriviktim-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Nga Ndihma Tek Hypervisor: Zinxhiri i Sulmeve Shumëfazore

Metodologjia e sulmit të Scattered Spider zhvillohet në pesë faza strategjike, secila e projektuar për të përshkallëzuar aksesin dhe për të minimizuar zbulimin:

Qasja Fillestare dhe Përshkallëzimi i Privilegjit
Sulmuesit fillojnë me inxhinieri sociale për të imituar punonjësit, për të mbledhur kredencialet dhe për të mbledhur dokumentacion të brendshëm. Ata shpesh nxjerrin të dhëna nga menaxherët e fjalëkalimeve si HashiCorp Vault dhe shfrytëzojnë proceset e mbështetjes së IT-së për të rivendosur fjalëkalimet e administratorit.

Lëvizja anësore në vsferë
Duke shfrytëzuar kredencialet e Active Directory të lidhura me mjediset VMware, ata qasen në vCenter Server Appliance (vCSA). Një mjet i quajtur teleport vendoset për të krijuar një reverse shell të enkriptuar që anashkalon rregullat e firewall-it dhe krijon akses të përhershëm.

Manipulimi i Hipervizorit dhe Nxjerrja e të Dhënave
SSH aktivizohet në hostet ESXi, fjalëkalimet e rrënjosjes rivendosen dhe ekzekutohet një sulm 'ndërrimi disku'. Kjo përfshin mbylljen e një VM-je të Kontrolluesit të Domainit, shkëputjen e diskut të saj virtual, lidhjen e saj me një VM të kontrolluar nga sulmuesi dhe nxjerrjen e bazës së të dhënave NTDS.dit para se të përmbyset procesi.

Çaktivizimi i Mekanizmave të Rimëkëmbjes
Punët e kopjimit rezervë, pamjet e çastit dhe depot fshihen për të eliminuar opsionet e rikuperimit dhe për të amplifikuar ndikimin e sulmit.

Vendosja e Ransomware-it
Binarët e personalizuar të ransomware-it dërgohen nëpërmjet SCP ose SFTP te hostet e kompromentuara ESXi, duke enkriptuar sisteme kritike në të gjithë mjedisin virtual.

Shpejtësia dhe Fshehtësia e Merimangës së Shpërndarë

Ajo që e dallon Scattered Spider, i njohur edhe me pseudonime të tilla si 0ktapus, Muddled Libra, Octo Tempest dhe UNC3944, nga aktorët tradicionalë të ransomware është shpejtësia dhe fshehtësia e operacioneve të tyre. Ekspertët vërejnë se i gjithë sulmi, nga qasja fillestare deri te vendosja e ransomware, mund të ndodhë brenda vetëm pak orësh. Në disa raste, mbi 100 GB të dhëna janë nxjerrë në më pak se 48 orë. Grupi është lidhur gjithashtu me programin ransomware DragonForce, duke i amplifikuar aftësitë e tyre edhe më tej.

Zhvendosja e Strategjive të Mbrojtjes: Nga EDR në Sigurinë e Përqendruar në Infrastrukturë

Për shkak të natyrës së këtyre sulmeve, mjetet standarde të zbulimit dhe reagimit të pikave fundore (EDR) mund të mos jenë të mjaftueshme. Mbrojtja kundër Scattered Spider kërkon një qasje holistike dhe të përqendruar në infrastrukturë. Rekomandohet fuqimisht strategjia e mëposhtme e mbrojtjes me shtresa:

Shtresa 1: Forcimi i vSphere dhe Hypervisor

  • Aktivizo modalitetin e bllokimit në vSphere
  • Zbato execInstalledOnly
  • Përdor enkriptimin e VM-së
  • Hiqni makinat virtuale të papërdorura ose të vjetruara.
  • Siguroni dhe trajnoni shërbimin e ndihmës kundër taktikave të imitimit.

Shtresa 2: Mbrojtja e Identitetit dhe Qasjes

  • Implementoni autentifikim shumëfaktorësh (MFA) rezistent ndaj phishing-ut.
  • Veçoni infrastrukturën kritike të identitetit.
  • Shmangni varësitë e autentifikimit rrethor që sulmuesit mund t'i shfrytëzojnë.

Shtresa 3: Monitorimi dhe Izolimi i Rezervës

  • Centralizoni monitorimin e regjistrave nga infrastruktura kryesore.
  • Izoloni kopjet rezervë nga qasja në Active Directory.
  • Sigurohuni që kopjet rezervë të jenë të paarritshme edhe për llogaritë e administratorit të kompromentuara.

Përfundim: Një epokë e re e rrezikut të Ransomware-it

Ransomware-i që synon ekosistemin vSphere, veçanërisht hostet ESXi dhe vCenter Server, përbën një kërcënim serioz për shkak të potencialit të tij për ndërprerje të shpejta dhe në shkallë të gjerë. Natyra e llogaritur e operacioneve të Scattered Spider nxjerr në pah nevojën që organizatat të rimendojnë qëndrimet e tyre mbrojtëse. Injorimi i këtyre rreziqeve ose vonimi i zbatimit të kundërmasave të rekomanduara mund të çojë në pasoja katastrofike, duke përfshirë ndërprerje të rënda të funksionimit, humbje të të dhënave dhe dëme financiare.

Në trend

Më e shikuara

Po ngarkohet...