การโจมตี Ransomware แบบ Scattered Spider
Scattered Spider กลุ่มอาชญากรไซเบอร์ที่มีความซับซ้อนและก้าวร้าว ได้ยกระดับการโจมตีไฮเปอร์ไวเซอร์ VMware ESXi โดยมุ่งเป้าไปที่ภาคธุรกิจหลักๆ เช่น ค้าปลีก สายการบิน และการขนส่งในอเมริกาเหนือ ปฏิบัติการของกลุ่มนี้ดำเนินไปอย่างมีการคำนวณอย่างรอบคอบ และมีประสิทธิภาพอย่างน่าตกใจ ความสำเร็จของพวกเขาไม่ได้อยู่ที่การใช้ประโยชน์จากซอฟต์แวร์ แต่อยู่ที่ความเชี่ยวชาญด้านวิศวกรรมสังคมและการจัดการระบบที่เชื่อถือได้
สารบัญ
กลยุทธ์ที่ปราศจากการเอารัดเอาเปรียบ: วิศวกรรมสังคมที่เป็นแกนหลัก
แทนที่จะใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ Scattered Spider กลับใช้กลยุทธ์ที่ผ่านการพิสูจน์แล้ว นั่นคือ วิศวกรรมสังคมผ่านโทรศัพท์ กลุ่มนี้มักติดต่อฝ่ายช่วยเหลือด้านไอทีเพื่อปลอมตัวเป็นบุคลากรจริง รวมถึงผู้ดูแลระบบที่มีสิทธิ์สูง การโทรเหล่านี้เป็นส่วนหนึ่งของกลยุทธ์ที่ขับเคลื่อนด้วยแคมเปญขนาดใหญ่ ทำให้การโจมตีของพวกเขาไม่ใช่การโจมตีแบบสุ่ม พวกเขาวางแผนปฏิบัติการอย่างละเอียดถี่ถ้วนเพื่อกำหนดเป้าหมายไปที่ระบบและข้อมูลที่ละเอียดอ่อนที่สุดภายในองค์กร
ผู้กระทำการ Scattered Spider เป็นที่รู้จักในการลงทะเบียนโดเมนหลอกลวงที่เลียนแบบโครงสร้างพื้นฐานหรือพอร์ทัลเข้าสู่ระบบของเป้าหมายอย่างใกล้ชิด รูปแบบการตั้งชื่อที่พบบ่อย ได้แก่:
- victimname-sso.com
- victimname-okta.com
- victimname-servicedesk.com
- sso-victimname.com
- servicenow-victimname.com
จากแผนกช่วยเหลือไปจนถึงไฮเปอร์ไวเซอร์: ห่วงโซ่การโจมตีแบบหลายเฟส
กระบวนการโจมตีของ Scattered Spider ดำเนินไปผ่าน 5 ขั้นตอนเชิงกลยุทธ์ โดยแต่ละขั้นตอนได้รับการออกแบบมาเพื่อเพิ่มการเข้าถึงและลดการตรวจจับให้น้อยที่สุด:
การเข้าถึงเบื้องต้นและการยกระดับสิทธิพิเศษ
ผู้โจมตีเริ่มต้นด้วยการใช้กลวิธีทางสังคมเพื่อปลอมแปลงตัวตนเป็นพนักงาน ขโมยข้อมูลประจำตัว และรวบรวมเอกสารภายใน พวกเขามักจะดึงข้อมูลจากโปรแกรมจัดการรหัสผ่าน เช่น HashiCorp Vault และใช้ประโยชน์จากกระบวนการสนับสนุนด้านไอทีเพื่อรีเซ็ตรหัสผ่านผู้ดูแลระบบ
การเคลื่อนที่ด้านข้างไปยัง vSphere
โดยใช้ประโยชน์จากข้อมูลประจำตัว Active Directory ที่แมปกับสภาพแวดล้อม VMware พวกเขาสามารถเข้าถึง vCenter Server Appliance (vCSA) ได้ เครื่องมือที่เรียกว่า teleport จะถูกนำไปใช้เพื่อสร้างเชลล์ย้อนกลับที่เข้ารหัส ซึ่งข้ามกฎไฟร์วอลล์และสร้างการเข้าถึงแบบถาวร
การจัดการไฮเปอร์ไวเซอร์และการดึงข้อมูล
SSH ถูกเปิดใช้งานบนโฮสต์ ESXi รหัสผ่านรูทจะถูกรีเซ็ต และการโจมตีแบบ 'disk-swap' จะถูกดำเนินการ ซึ่งรวมถึงการปิดเครื่องเสมือนของตัวควบคุมโดเมน การแยกดิสก์เสมือนออก การเชื่อมต่อกับเครื่องเสมือนที่ผู้โจมตีควบคุม และการแยกฐานข้อมูล NTDS.dit ก่อนที่จะย้อนกลับกระบวนการ
การปิดใช้งานกลไกการกู้คืน
งานสำรองข้อมูล สแนปช็อต และที่เก็บข้อมูลจะถูกลบออกเพื่อลบตัวเลือกการกู้คืนและขยายผลกระทบของการโจมตี
การปรับใช้แรนซัมแวร์
ไบนารีแรนซัมแวร์ที่กำหนดเองจะถูกส่งผ่าน SCP หรือ SFTP ไปยังโฮสต์ ESXi ที่ถูกบุกรุก โดยเข้ารหัสระบบที่สำคัญในสภาพแวดล้อมเสมือน
ความเร็วและความลับของแมงมุมกระจัดกระจาย
สิ่งที่ทำให้ Scattered Spider หรือที่รู้จักกันในชื่อแฝงอื่นๆ เช่น 0ktapus, Muddled Libra, Octo Tempest และ UNC3944 แตกต่างจากแรนซัมแวร์ทั่วไป คือ ความเร็วและความสามารถในการปฏิบัติการที่ซ่อนเร้น ผู้เชี่ยวชาญระบุว่าการโจมตีทั้งหมด ตั้งแต่การเข้าถึงเบื้องต้นไปจนถึงการแพร่กระจายแรนซัมแวร์ อาจเกิดขึ้นได้ภายในเวลาเพียงไม่กี่ชั่วโมง ในบางกรณี ข้อมูลกว่า 100 GB ถูกขโมยไปภายในเวลาไม่ถึง 48 ชั่วโมง นอกจากนี้ กลุ่มนี้ยังเชื่อมโยงกับโปรแกรมแรนซัมแวร์ DragonForce ซึ่งช่วยเพิ่มศักยภาพของพวกเขาไปอีกขั้น
การเปลี่ยนแปลงกลยุทธ์การป้องกัน: จาก EDR ไปสู่ความปลอดภัยที่เน้นโครงสร้างพื้นฐาน
เนื่องจากลักษณะของการโจมตีเหล่านี้ เครื่องมือตรวจจับและตอบสนองปลายทาง (EDR) มาตรฐานอาจไม่เพียงพอ การป้องกัน Scattered Spider จำเป็นต้องใช้วิธีการแบบองค์รวมที่เน้นโครงสร้างพื้นฐาน ขอแนะนำอย่างยิ่งให้ใช้กลยุทธ์การป้องกันแบบหลายชั้นดังต่อไปนี้:
เลเยอร์ 1: การเสริมความแข็งแกร่งให้กับ vSphere และ Hypervisor
- เปิดใช้งานโหมดล็อคดาวน์บน vSphere
- บังคับใช้เฉพาะการติดตั้งเท่านั้น
- ใช้การเข้ารหัส VM
- เลิกใช้เครื่องเสมือนที่ไม่ได้ใช้หรือล้าสมัย
- รักษาความปลอดภัยและฝึกอบรมแผนกช่วยเหลือเกี่ยวกับกลวิธีการแอบอ้างตัวตน
เลเยอร์ 2: การป้องกันการระบุตัวตนและการเข้าถึง
- นำการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ป้องกันการฟิชชิ่ง (MFA) มาใช้
- แยกโครงสร้างพื้นฐานด้านการระบุตัวตนที่สำคัญ
- หลีกเลี่ยงการใช้การตรวจสอบสิทธิ์แบบวนซ้ำซึ่งผู้โจมตีสามารถใช้ประโยชน์ได้
เลเยอร์ 3: การตรวจสอบและการแยกการสำรองข้อมูล
- รวมศูนย์การตรวจสอบบันทึกจากโครงสร้างพื้นฐานที่สำคัญ
- แยกการสำรองข้อมูลจากการเข้าถึง Active Directory
บทสรุป: ยุคใหม่ของความเสี่ยงจากแรนซัมแวร์
แรนซัมแวร์ที่พุ่งเป้าโจมตีระบบนิเวศ vSphere โดยเฉพาะโฮสต์ ESXi และ vCenter Server ถือเป็นภัยคุกคามร้ายแรงเนื่องจากอาจก่อให้เกิดการหยุดชะงักครั้งใหญ่และรวดเร็ว การดำเนินงานของ Scattered Spider ที่คำนวณมาอย่างดี เน้นย้ำถึงความจำเป็นที่องค์กรต่างๆ จะต้องทบทวนแนวทางการป้องกัน การเพิกเฉยต่อความเสี่ยงเหล่านี้หรือการชะลอการนำมาตรการรับมือที่แนะนำมาใช้ อาจนำไปสู่ผลลัพธ์ที่ร้ายแรง เช่น การหยุดทำงานอย่างรุนแรง การสูญเสียข้อมูล และความเสียหายทางการเงิน
