Rabattoffert för flera licenser
Hotdatabas Ransomware Spridd spindel ransomware-attack

Spridd spindel ransomware-attack

Med Mezo år Ransomware, Advanced Persistent Threat (APT)
Översätt till:

Scattered Spider, en sofistikerad och aggressiv cyberbrottsgrupp, har ökat sina attacker mot VMware ESXi-hypervisorer. Gruppen riktar sig mot viktiga sektorer som detaljhandel, flygbolag och transport i Nordamerika och deras verksamhet är beräknad, avsiktlig och förödande effektiv. Deras framgång ligger inte i programvaruattacker utan i deras behärskning av social ingenjörskonst och manipulation av betrodda system.

Taktik utan exploateringar: Social ingenjörskonst i grunden

I stället för att utnyttja sårbarheter i programvara förlitar sig Scattered Spider på en beprövad taktik: telefonbaserad social ingenjörskonst. Gruppen kontaktar ofta IT-helpdesks för att utge sig för att vara legitim personal, inklusive administratörer med höga privilegier. Dessa samtal är en del av en bredare kampanjdriven strategi, vilket gör deras attacker allt annat än slumpmässiga. De planerar noggrant sina operationer för att rikta in sig på de känsligaste systemen och informationen inom en organisation.

Aktörer i Scattered Spider-världen är kända för att registrera vilseledande domäner som nära efterliknar infrastrukturen eller inloggningsportalerna för deras mål. Vanliga namngivningsmönster inkluderar:

  • offernamn-sso.com
  • offernamn-okta.com
  • offernamn-servicedesk.com
  • sso-offernamn.com
  • servicenow-offernamn.com

Från helpdesk till hypervisor: Flerfasattackkedjan

Attackmetoden för Scattered Spider utvecklas genom fem strategiska faser, var och en utformad för att eskalera åtkomst och minimera upptäckt:

Initial åtkomst och eskalering av behörighet
Angriparna börjar med social engineering för att utge sig för att vara anställda, samla in inloggningsuppgifter och intern dokumentation. De extraherar ofta data från lösenordshanterare som HashiCorp Vault och utnyttjar IT-supportprocesser för att återställa administratörslösenord.

Sidoförflyttning till vSphere
Genom att utnyttja Active Directory-inloggningsuppgifter mappade till VMware-miljöer får de åtkomst till vCenter Server Appliance (vCSA). Ett verktyg som kallas teleportering distribueras för att skapa ett krypterat omvänt skal som kringgår brandväggsregler och etablerar permanent åtkomst.

Hypervisormanipulation och datautvinning
SSH aktiveras på ESXi-värdar, root-lösenord återställs och en "disk-swap"-attack utförs. Detta innebär att en virtuell domänkontrollant stängs av, dess virtuella disk kopplas bort, den ansluts till en angriparstyrd virtuell maskin och NTDS.dit-databasen extraheras innan processen omvänds.

Inaktivera återställningsmekanismer
Säkerhetskopieringsjobb, ögonblicksbilder och databaser raderas för att eliminera återställningsalternativ och förstärka attackens inverkan.

Implementering av utpressningsvirus
Anpassade ransomware-binärfiler skickas via SCP eller SFTP till de komprometterade ESXi-värdarna, vilket krypterar kritiska system i den virtuella miljön.

Den spridd spindelns hastighet och smygförmåga

Det som skiljer Scattered Spider, även känt under alias som 0ktapus, Muddled Libra, Octo Tempest och UNC3944, från traditionella ransomware-aktörer är deras snabbhet och smygande verksamhet. Experter noterar att hela attacken, från initial åtkomst till ransomware-distribution, kan ske inom bara några timmar. I vissa fall har över 100 GB data stjälts på mindre än 48 timmar. Gruppen har också kopplats till DragonForce ransomware-programmet, vilket ytterligare förstärker deras kapacitet.

Skiftande försvarsstrategier: Från EDR till infrastrukturcentrerad säkerhet

På grund av dessa attackers natur kan standardverktyg för endpoint detection and response (EDR) vara otillräckliga. Att försvara sig mot Scattered Spider kräver en holistisk, infrastrukturcentrerad strategi. Följande försvarsstrategi i flera lager rekommenderas starkt:

Lager 1: vSphere och Hypervisor-härdning

  • Aktivera låsningsläge på vSphere
  • Tillämpa execInstalledOnly
  • Använd VM-kryptering
  • Ta bort oanvända eller föråldrade virtuella maskiner.
  • Säkra och utbilda helpdesken mot imitationsmetoder.

Nivå 2: Identitets- och åtkomstskydd

  • Implementera nätfiskeresistent multifaktorautentisering (MFA).
  • Segregera kritisk identitetsinfrastruktur.
  • Undvik cirkulära autentiseringsberoenden som angripare kan utnyttja.

Lager 3: Övervakning och isolering av säkerhetskopiering

  • Centralisera loggövervakning från viktig infrastruktur.
  • Isolera säkerhetskopior från Active Directory-åtkomst.
  • Se till att säkerhetskopior inte är åtkomliga även för komprometterade administratörskonton.

Slutsats: En ny era av ransomware-risker

Ransomware som riktar sig mot vSphere-ekosystemet, särskilt ESXi-värdar och vCenter Server, utgör ett allvarligt hot på grund av dess potential för snabba och storskaliga störningar. Den kalkylerade karaktären av Scattered Spiders verksamhet belyser behovet av att organisationer omprövar sina försvarsstrategier. Att ignorera dessa risker eller försena implementeringen av de rekommenderade motåtgärderna kan leda till katastrofala konsekvenser, inklusive allvarliga driftstopp, dataförlust och ekonomisk skada.

Trendigt

Mest sedda

Läser in...