Verspreide Spider kaping VMware ESXI om ransomware te implementeren op kritieke Amerikaanse infrastructuur

Cyberbeveiliging
Deploy Ransomware on Critical U.S. Infrastructure

De beruchte cybercriminaliteitsgroep bekend als Scattered Spider richt zich op VMware ESXI -hypervisors in aanvallen gericht op retail-, luchtvaart- en transportsectoren in Noord -Amerika.

“De kerntactieken van de groep zijn consistent gebleven en vertrouwen niet op software -exploits. In plaats daarvan gebruiken ze een bewezen playbook gericht op telefoongesprekken naar een IT -helpdesk,” zei het mandantste team van Google in een uitgebreide analyse.

“De acteurs zijn agressief, creatief en bijzonder bekwaam in het gebruik van sociale engineering om zelfs volwassen beveiligingsprogramma’s te omzeilen. Hun aanvallen zijn niet opportunistisch, maar zijn nauwkeurige, campagnegedreven operaties gericht op de meest kritieke systemen en gegevens van een organisatie.”

Ook wel 0ktapus, Muddled Libra, Octo Tempest en UNC3944 genoemd, hebben de dreigingsactoren een geschiedenis van het uitvoeren van geavanceerde sociale engineeringaanvallen om initiële toegang tot slachtofferomgevingen te verkrijgen en vervolgens een “Living-off-the-Land” (Lotl) -benadering te gebruiken door vertrouwde administratieve systemen te manipuleren.

Google zei dat de methode, die een route biedt voor gegevensuitvoeringen en ransomware -implementatie rechtstreeks van de hypervisor, “zeer effectief” is, omdat het beveiligingshulpmiddelen omzeilt en weinig sporen van compromis achterlaat.

De aanvalsketen ontvouwt zich over vijf verschillende fasen –

  • Aanvankelijke compromis, verkenning en escalatie van voorrechten, waardoor de dreigingsactoren informatie kunnen oogsten met betrekking tot IT -documentatie, ondersteuningsgidsen, organisatiekaarten en vSphere -beheerders, evenals opsommen van referenties van wachtwoordbeheerders zoals Hashicorp Vault of andere geprivilegieerde toegangsbeheer (PAM) oplossingen. De aanvallers zijn gebleken om extra telefoontjes naar de IT-helpdesk van het bedrijf te bellen om zich voor te doen als een hoogwaardige beheerder en een wachtwoordreset aan te vragen om controle over het account te krijgen.
  • Draaien naar de virtuele omgeving met behulp van de toegewezen Active Directory naar vSphere -referenties en toegang krijgen tot VMware vCenter Server Appliance (VCSA), waarna Teleport wordt uitgevoerd om een persistente en gecodeerde reverse shell te maken die Firewall -regels omzeilt
  • SSH-verbindingen inschakelen op ESXI-hosts en het resetten van rootwachtwoorden, en het uitvoeren van wat een “schijf-swap” -aanval wordt genoemd om de NTDS.DIT Active Directory-database te extraheren. De aanval werkt door een Domain Controller (DC) Virtual Machine (VM) af te voeden en zijn virtuele schijf los te maken, alleen om deze aan een andere, niet -gemonitoring VM onder hun controle te bevestigen. Na het kopiëren van het NTDS.DIT -bestand wordt het hele proces omgekeerd en wordt de DC ingeschakeld.
  • Het bewapenen van de toegang tot het verwijderen van back -upbanen, snapshots en repositories om herstel te remmen
  • De SSH -toegang tot de ESXI -hosts gebruiken om hun aangepaste ransomware -binair te pushen via SCP/SFTP

“Het playbook van UNC3944 vereist een fundamentele verschuiving in defensieve strategie, die van EDR gebaseerde dreigingsjacht naar proactieve, infrastructuurgerichte verdediging,” zei Google. “Deze dreiging verschilt op twee manieren van traditionele ransomware van Windows: snelheid en stealth.”

De tech -gigant riep ook de ‘extreme snelheid’ van de dreigingsacteurs op en vermeldde de hele infectiesequentie van initiële toegang tot gegevensuitbruik en de uiteindelijke ransomware -implementatie kan binnen een korte tijdspanne van een paar uur plaatsvinden.

Volgens Palo Alto Networks Unit 42 zijn verspreide Spider-acteurs niet alleen bedreven in Social Engineering, maar hebben ze ook een partnerschap aangegaan met de Dragonforce (AKA Slippery Scorpius) ransomware-programma, in één geval die meer dan 100 GB aan gegevens gedurende een periode van twee dagen exfiltreren.

Om dergelijke bedreigingen tegen te gaan, wordt organisaties geadviseerd om drie beschermingslagen te volgen –

  • Schakel vSphere Lockdown -modus in, handhaaf uitvoerigstalledonly, gebruik vSphere VM -codering, buitenommissie oude VM’s, verharden de helpdesk
  • Implementeer phishing-resistente multi-factor authenticatie (MFA), isoleer kritieke identiteitsinfrastructuur, vermijd authenticatielussen
  • Centraliseer en controleer belangrijke logboeken, isoleer back -ups van Production Active Directory en zorg ervoor dat ze ontoegankelijk zijn voor een gecompromitteerde beheerder

Google dringt er ook bij organisaties op aan om het systeem opnieuw te architecteren met veiligheid in gedachten bij de overgang van VMware vSphere 7, omdat het in oktober 2025 in oktober 2025 end-of-life (EOL) nadert.

“Ransomware gericht op vSphere -infrastructuur, inclusief zowel ESXI -hosts als vCenter Server, vormt een uniek ernstig risico vanwege zijn capaciteit voor onmiddellijke en wijdverspreide infrastructuurvergrendeling,” zei Google.

“Het niet proactief aanpakken van deze onderling verbonden risico’s door deze aanbevolen mitigaties te implementeren, zal organisaties blootgesteld blijven aan gerichte aanvallen die snel hun hele gevirtualiseerde infrastructuur kunnen verlammen, wat leidt tot operationele verstoring en financieel verlies.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

iPhone 17 Pro kan mobiele optische zoom naar een nieuw niveau brengen

Waarom het een moderne aanpak nodig heeft

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]