Nakakalat na Spider Ransomware Attack

Ang Scattered Spider, isang sopistikado at agresibong cybercrime group, ay pinarami ang mga pag-atake nito laban sa VMware ESXi hypervisors. Ang pag-target sa mga pangunahing sektor tulad ng retail, airline, at transportasyon sa North America, ang mga operasyon ng grupo ay kalkulado, sinadya, at lubhang epektibo. Ang kanilang tagumpay ay hindi nakasalalay sa mga pagsasamantala sa software ngunit sa kanilang kahusayan sa social engineering at pagmamanipula ng mga pinagkakatiwalaang sistema.

Mga Taktika na Walang Pagsasamantala: Social Engineering sa Core

Sa halip na pagsamantalahan ang mga kahinaan sa software, umaasa ang Scattered Spider sa isang sinubukang taktika: social engineering na nakabatay sa telepono. Madalas na nakikipag-ugnayan ang grupo sa mga IT help desk upang magpanggap bilang mga lehitimong tauhan, kabilang ang mga administrator na may mataas na pribilehiyo. Ang mga tawag na ito ay bahagi ng isang mas malawak na diskarte na hinimok ng kampanya, na ginagawang random ang kanilang mga pag-atake. Maingat nilang pinaplano ang kanilang mga operasyon upang i-target ang mga pinakasensitibong system at data sa loob ng isang organisasyon.

Ang mga scattered Spider actor ay kilala sa pagrerehistro ng mga mapanlinlang na domain na malapit na ginagaya ang imprastraktura o login portal ng kanilang mga target. Ang mga karaniwang pattern ng pagpapangalan ay kinabibilangan ng:

• victimname-sso.com
• victimname-okta.com
• victimname-servicedesk.com
• sso-victimname.com
• servicenow-victimname.com

Mula sa Help Desk hanggang sa Hypervisor: Ang Multi-Phase Attack Chain

Ang pamamaraan ng pag-atake ng Scattered Spider ay nagbubukas sa limang madiskarteng yugto, bawat isa ay idinisenyo upang palakihin ang pag-access at bawasan ang pagtuklas:

Paunang Pag-access at Pagtaas ng Pribilehiyo
Nagsisimula ang mga umaatake sa social engineering upang magpanggap bilang mga empleyado, mag-ani ng mga kredensyal, at mangalap ng panloob na dokumentasyon. Madalas silang kumukuha ng data mula sa mga tagapamahala ng password tulad ng HashiCorp Vault at sinasamantala ang mga proseso ng suporta sa IT upang i-reset ang mga password ng administrator.

Lateral Movement sa vSphere
Sa pamamagitan ng paggamit ng mga kredensyal ng Active Directory na nakamapa sa mga kapaligiran ng VMware, ina-access nila ang vCenter Server Appliance (vCSA). Ang isang tool na tinatawag na teleport ay naka-deploy upang lumikha ng isang naka-encrypt na reverse shell na lumalampas sa mga panuntunan ng firewall at nagtatatag ng patuloy na pag-access.

Hypervisor Manipulation at Data Extraction
Pinagana ang SSH sa mga host ng ESXi, ni-reset ang mga root password, at nagsasagawa ng 'disk-swap' na pag-atake. Kabilang dito ang pag-shut down ng isang Domain Controller VM, pagtanggal sa virtual disk nito, pag-attach nito sa isang VM na kinokontrol ng attacker, at pag-extract sa database ng NTDS.dit bago baligtarin ang proseso.

Hindi pagpapagana ng Mga Mekanismo ng Pagbawi
Ang mga backup na trabaho, snapshot, at repository ay tinanggal upang alisin ang mga opsyon sa pagbawi at palakasin ang epekto ng pag-atake.

Pag-deploy ng Ransomware
Ang mga binary na custom ransomware ay itinutulak sa pamamagitan ng SCP o SFTP sa mga nakompromisong ESXi host, na nag-e-encrypt ng mga kritikal na sistema sa buong virtual na kapaligiran.

Ang Bilis at Stealth ng Nagkalat na Gagamba

Ang ipinagkaiba sa Scattered Spider, na kilala rin sa mga alyas gaya ng 0ktapus, Muddled Libra, Octo Tempest, at UNC3944, bukod sa mga tradisyunal na ransomware actor ay ang bilis at palihim ng kanilang mga operasyon. Napansin ng mga eksperto na ang buong pag-atake, mula sa paunang pag-access hanggang sa pag-deploy ng ransomware, ay maaaring mangyari sa loob lamang ng ilang oras. Sa ilang pagkakataon, mahigit 100 GB ng data ang na-exfiltrate nang wala pang 48 oras. Ang grupo ay na-link din sa DragonForce ransomware program, na pinalalakas pa ang kanilang mga kakayahan.

Paglipat ng Mga Istratehiya sa Depensa: Mula sa EDR patungong Infrastructure-Centric Security

Dahil sa likas na katangian ng mga pag-atakeng ito, maaaring hindi sapat ang mga karaniwang endpoint detection and response (EDR). Ang pagtatanggol laban sa Scattered Spider ay nangangailangan ng isang holistic, infrastructure-centric na diskarte. Ang sumusunod na layered na diskarte sa pagtatanggol ay mahigpit na inirerekomenda:

Layer 1: vSphere at Hypervisor Hardening

• I-enable ang lockdown mode sa vSphere
• Ipatupad ang execInstalledOnly
• Gumamit ng VM encryption
• Ihinto ang mga hindi nagamit o lumang virtual machine.
• I-secure at sanayin ang help desk laban sa mga taktika ng pagpapanggap.

Layer 2: Proteksyon sa Pagkakakilanlan at Access

• Ipatupad ang phishing-resistant multi-factor authentication (MFA).
• Paghiwalayin ang kritikal na imprastraktura ng pagkakakilanlan.
• Iwasan ang circular authentication dependencies na maaaring pagsamantalahan ng mga umaatake.

Layer 3: Pagsubaybay at Backup Isolation

• Isentro ang pagsubaybay sa log mula sa pangunahing imprastraktura.
• Ihiwalay ang mga backup mula sa access sa Active Directory.
• Tiyaking hindi naa-access ang mga backup kahit na sa mga nakompromisong admin account.

Konklusyon: Isang Bagong Panahon ng Panganib sa Ransomware

Ang Ransomware na nagta-target sa vSphere ecosystem, partikular sa mga host ng ESXi at vCenter Server, ay nagdudulot ng matinding banta dahil sa potensyal nito para sa mabilis at malakihang pagkagambala. Ang kalkuladong katangian ng mga operasyon ng Scattered Spider ay nagpapakita ng pangangailangan para sa mga organisasyon na muling pag-isipan ang kanilang mga postura sa pagtatanggol. Ang pagwawalang-bahala sa mga panganib na ito o pagkaantala sa pagpapatupad ng mga inirerekomendang hakbang ay maaaring humantong sa mga sakuna na kahihinatnan, kabilang ang matinding downtime, pagkawala ng data, at pinansiyal na pinsala.