Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm tống tiền Tấn công Ransomware Scattered Spider

Tấn công Ransomware Scattered Spider

Đến năm Mezo năm Phần mềm tống tiền, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Scattered Spider, một nhóm tội phạm mạng tinh vi và hung hãn, đã tăng cường các cuộc tấn công vào trình quản lý ảo VMware ESXi. Nhắm mục tiêu vào các lĩnh vực trọng điểm như bán lẻ, hàng không và vận tải ở Bắc Mỹ, hoạt động của nhóm này được tính toán kỹ lưỡng, có chủ đích và cực kỳ hiệu quả. Thành công của chúng không nằm ở việc khai thác phần mềm mà nằm ở khả năng sử dụng thành thạo kỹ thuật tấn công phi kỹ thuật (social engineering) và thao túng các hệ thống đáng tin cậy.

Chiến thuật không khai thác: Kỹ thuật xã hội ở cốt lõi

Thay vì khai thác lỗ hổng phần mềm, Scattered Spider sử dụng một chiến thuật đã được kiểm chứng: tấn công kỹ thuật xã hội qua điện thoại. Nhóm này thường liên hệ với bộ phận hỗ trợ CNTT để mạo danh nhân viên hợp pháp, bao gồm cả quản trị viên có đặc quyền cao. Những cuộc gọi này là một phần của chiến lược rộng lớn hơn, được thúc đẩy bởi chiến dịch, khiến các cuộc tấn công của chúng không hề mang tính ngẫu nhiên. Chúng tỉ mỉ lên kế hoạch hoạt động để nhắm vào các hệ thống và dữ liệu nhạy cảm nhất trong một tổ chức.

Các tác nhân Scattered Spider được biết đến với việc đăng ký các tên miền lừa đảo, mô phỏng chặt chẽ cơ sở hạ tầng hoặc cổng thông tin đăng nhập của mục tiêu. Các mẫu đặt tên phổ biến bao gồm:

  • victimname-sso.com
  • victimname-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Từ Help Desk đến Hypervisor: Chuỗi tấn công nhiều giai đoạn

Phương pháp tấn công của Scattered Spider trải qua năm giai đoạn chiến lược, mỗi giai đoạn được thiết kế để tăng cường quyền truy cập và giảm thiểu khả năng phát hiện:

Truy cập ban đầu và leo thang đặc quyền
Kẻ tấn công bắt đầu bằng kỹ thuật xã hội để mạo danh nhân viên, thu thập thông tin đăng nhập và tài liệu nội bộ. Chúng thường trích xuất dữ liệu từ các trình quản lý mật khẩu như HashiCorp Vault và lợi dụng quy trình hỗ trợ CNTT để đặt lại mật khẩu quản trị viên.

Di chuyển ngang sang vSphere
Bằng cách tận dụng thông tin đăng nhập Active Directory được ánh xạ tới môi trường VMware, họ có thể truy cập Thiết bị Máy chủ vCenter (vCSA). Một công cụ gọi là teleport được triển khai để tạo một lớp vỏ ngược được mã hóa, bỏ qua các quy tắc tường lửa và thiết lập quyền truy cập liên tục.

Thao tác Hypervisor và Trích xuất dữ liệu
SSH được bật trên máy chủ ESXi, mật khẩu root được đặt lại và cuộc tấn công "đổi đĩa" được thực hiện. Cuộc tấn công này bao gồm việc tắt máy ảo Domain Controller, tách đĩa ảo của nó, kết nối nó với máy ảo do kẻ tấn công kiểm soát và trích xuất cơ sở dữ liệu NTDS.dit trước khi đảo ngược quy trình.

Vô hiệu hóa cơ chế phục hồi
Các tác vụ sao lưu, ảnh chụp nhanh và kho lưu trữ sẽ bị xóa để loại bỏ các tùy chọn khôi phục và khuếch đại tác động của cuộc tấn công.

Triển khai Ransomware
Các tệp nhị phân ransomware tùy chỉnh được đẩy qua SCP hoặc SFTP đến các máy chủ ESXi bị xâm phạm, mã hóa các hệ thống quan trọng trên toàn bộ môi trường ảo.

Tốc độ và khả năng tàng hình của Scattered Spider

Điểm khác biệt giữa Scattered Spider, còn được biết đến với các biệt danh như 0ktapus, Muddled Libra, Octo Tempest và UNC3944, so với các nhóm ransomware truyền thống chính là tốc độ và khả năng hoạt động bí mật. Các chuyên gia lưu ý rằng toàn bộ cuộc tấn công, từ truy cập ban đầu đến triển khai ransomware, có thể diễn ra chỉ trong vài giờ. Trong một số trường hợp, hơn 100 GB dữ liệu đã bị đánh cắp trong vòng chưa đầy 48 giờ. Nhóm này cũng được cho là có liên quan đến chương trình ransomware DragonForce, càng làm tăng thêm khả năng của chúng.

Chuyển đổi chiến lược phòng thủ: Từ EDR sang an ninh tập trung vào cơ sở hạ tầng

Do bản chất của các cuộc tấn công này, các công cụ phát hiện và phản hồi điểm cuối (EDR) tiêu chuẩn có thể không đủ. Việc phòng thủ chống lại Scattered Spider đòi hỏi một phương pháp tiếp cận toàn diện, tập trung vào cơ sở hạ tầng. Chiến lược phòng thủ nhiều lớp sau đây được khuyến nghị mạnh mẽ:

Lớp 1: Tăng cường bảo mật cho vSphere và Hypervisor

  • Bật chế độ khóa trên vSphere
  • Thực thi execInstalledOnly
  • Sử dụng mã hóa VM
  • Hủy bỏ các máy ảo không sử dụng hoặc lỗi thời.
  • Bảo mật và đào tạo bộ phận trợ giúp chống lại các chiến thuật mạo danh.

Lớp 2: Bảo vệ danh tính và quyền truy cập

  • Triển khai xác thực đa yếu tố (MFA) chống lừa đảo.
  • Phân tách cơ sở hạ tầng nhận dạng quan trọng.
  • Tránh các phụ thuộc xác thực vòng tròn mà kẻ tấn công có thể lợi dụng.

Lớp 3: Giám sát và cách ly sao lưu

  • Tập trung giám sát nhật ký từ cơ sở hạ tầng chính.
  • Tách biệt các bản sao lưu khỏi quyền truy cập Active Directory.
  • Đảm bảo bản sao lưu không thể truy cập được ngay cả đối với tài khoản quản trị viên bị xâm phạm.

Kết luận: Kỷ nguyên mới của rủi ro Ransomware

Ransomware nhắm vào hệ sinh thái vSphere, đặc biệt là máy chủ ESXi và vCenter Server, gây ra mối đe dọa nghiêm trọng do khả năng gây gián đoạn nhanh chóng và trên diện rộng. Tính chất được tính toán kỹ lưỡng trong hoạt động của Scattered Spider cho thấy các tổ chức cần xem xét lại chiến lược phòng thủ của mình. Việc bỏ qua những rủi ro này hoặc trì hoãn việc triển khai các biện pháp đối phó được khuyến nghị có thể dẫn đến hậu quả thảm khốc, bao gồm thời gian ngừng hoạt động nghiêm trọng, mất dữ liệu và thiệt hại tài chính.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,973
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...