Попуст за више лиценци
Тхреат Датабасе Рансомваре Напад рансомвера „Распршени паук“

Напад рансомвера „Распршени паук“

До Mezo. у Рансомваре, Напредна трајна претња (АПТ)
Преведи на:

Scattered Spider, софистицирана и агресивна група за сајбер криминал, појачала је своје нападе на VMware ESXi хипервизоре. Циљајући кључне секторе попут малопродаје, авио-компанија и транспорта у Северној Америци, операције групе су прорачунате, намерне и разорно ефикасне. Њихов успех не лежи у софтверским експлоатима, већ у њиховом мајсторству социјалног инжењеринга и манипулације поузданим системима.

Тактике без експлоатације: Социјални инжењеринг у сржи

Уместо искоришћавања рањивости у софтверу, Scattered Spider се ослања на проверену тактику: социјални инжењеринг заснован на телефонским позивима. Група често контактира ИТ службе за помоћ како би се представљала као легитимно особље, укључујући администраторе са високим привилегијама. Ови позиви су део шире стратегије вођене кампањом, што њихове нападе чини све само не случајним. Они пажљиво планирају своје операције како би циљали најосетљивије системе и податке унутар организације.

Актери Распршеног паука познати су по регистровању обмањујућих домена који блиско имитирају инфраструктуру или портале за пријаву њихових мета. Уобичајени обрасци именовања укључују:

  • victimname-sso.com
  • victimname-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Од службе за помоћ до хипервизора: Вишефазни ланац напада

Методологија напада игре Scattered Spider одвија се кроз пет стратешких фаза, од којих је свака осмишљена да ескалира приступ и минимизира откривање:

Почетни приступ и ескалација привилегија
Нападачи почињу са друштвеним инжењерингом како би се представљали као запослени, прикупљали акредитиве и интерну документацију. Често извлаче податке из менаџера лозинки као што је HashiCorp Vault и искоришћавају процесе ИТ подршке за ресетовање администраторских лозинки.

Латерално кретање ка vSphere-у
Коришћењем акредитива за Active Directory мапираних на VMware окружења, они приступају vCenter Server Appliance-у (vCSA). Алат под називом teleport се примењује да би се креирала шифрована обрнута љуска која заобилази правила заштитног зида и успоставља трајни приступ.

Манипулација хипервизором и екстракција података
SSH је омогућен на ESXi хостовима, root лозинке се ресетују и извршава се напад „замене диска“. Ово подразумева искључивање виртуелне машине контролера домена, одвајање њеног виртуелног диска, повезивање са виртуелном машином коју контролише нападач и издвајање базе података NTDS.dit пре него што се процес обрне.

Онемогућавање механизама за опоравак
Резервне копије, снимци и спремишта се бришу како би се елиминисале опције опоравка и појачао утицај напада.

Распоређивање ransomware-а
Прилагођени бинарни фајлови ransomware-а се шаљу путем SCP-а или SFTP-а на компромитоване ESXi хостове, шифрујући критичне системе у виртуелном окружењу.

Брзина и прикривеност расутог паука

Оно што разликује Scattered Spider, познатог и под псеудонимима као што су 0ktapus, Muddled Libra, Octo Tempest и UNC3944, од традиционалних актера ransomware-а је брзина и прикривеност њихових операција. Стручњаци напомињу да се цео напад, од почетног приступа до распоређивања ransomware-а, може догодити у року од само неколико сати. У неким случајевима, преко 100 GB података је украдено за мање од 48 сати. Група је такође повезана са ransomware програмом DragonForce, што додатно појачава њихове могућности.

Промена одбрамбених стратегија: Од EDR-а до безбедности усмерене на инфраструктуру

Због природе ових напада, стандардни алати за детекцију и реаговање на крајње тачке (EDR) можда неће бити довољни. Одбрана од Scattered Spider-а захтева холистички приступ усмерен на инфраструктуру. Топло се препоручује следећа слојевита стратегија одбране:

Слој 1: vSphere и хипервизорско јачање

  • Омогућите режим закључавања на vSphere-у
  • Примени execInstalledOnly
  • Користите шифровање виртуелне машине
  • Уклоните некоришћене или застареле виртуелне машине.
  • Обезбедите и обучите службу за помоћ против тактика лажног представљања.

Слој 2: Заштита идентитета и приступа

  • Имплементирајте вишефакторску аутентификацију (MFA) отпорну на фишинг.
  • Одвојите критичну инфраструктуру идентитета.
  • Избегавајте зависности кружне аутентификације које нападачи могу да искористе.

Слој 3: Надгледање и изолација резервних копија

  • Централизовати праћење логова из кључне инфраструктуре.
  • Изолујте резервне копије од приступа Active Directory-ју.
  • Осигурајте да су резервне копије недоступне чак и компромитованим администраторским налозима.

    • Закључак: Нова ера ризика од ransomware-а

    Рансомвер који циља vSphere екосистем, посебно ESXi хостове и vCenter Server, представља озбиљну претњу због свог потенцијала за брзе поремећаје великих размера. Прорачуната природа операција Scattered Spider-а истиче потребу да организације преиспитају своје одбрамбене ставове. Игнорисање ових ризика или одлагање имплементације препоручених контрамера може довести до катастрофалних последица, укључујући озбиљне застоје, губитак података и финансијску штету.

    У тренду

    Андроид је открио превару са прислушкивањем вашег...

    Рогуе Вебситес
    Сајбер претње више нису ограничене на сложени злонамерни софтвер који циља велике корпорације. Свакодневни корисници су подједнако склони да постану жртве, често кроз тактике социјалног инжењеринга...

    Најгледанији

    Злонамерних програма

    Пецање, Спам
    35,973
    Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
    Учитавање...