El patente asociación de delitos cibernéticos conocido como Sptered Spider está dirigida a los hipervisores de VMware ESXI en ataques dirigidos a sectores minoristas, de aerolíneas y transporte en América del Septentrión.
“Las tácticas centrales del asociación se han mantenido consistentes y no dependen de las hazañas de software. En cambio, utilizan un vademécum de jugadas probado centrado en las llamadas telefónicas a una mesa de ayuda de TI”, dijo el equipo Mandiant de Google en un descomposición extenso.
“Los actores son agresivos, creativos y particularmente hábiles en el uso de la ingeniería social para evitar los programas de seguridad incluso maduros. Sus ataques no son oportunistas, sino que son operaciones precisas, impulsadas por la campaña dirigidas a los sistemas y datos más críticos de una ordenamiento”.
Igualmente llamado 0ktapus, Muddled Libra, Octo Tempest y UNC3944, los actores de amenazas tienen un historial de realizar ataques avanzados de ingeniería social para obtener entrada original a entornos de víctimas y luego adoptar un enfoque de “Landl) (LOTL) mediante la manipulación de sistemas administrativos de confianza y apalancando su control de directorio activo a givot al entorno VMware VSPHERE.
Google dijo que el método, que proporciona una vía para la exfiltración de datos y la implementación de ransomware directamente desde el hipervisor, es “mucho efectivo”, ya que omite las herramientas de seguridad y deja pocos rastros de compromiso.
La esclavitud de ataque se desarrolla en cinco fases distintas –
- El compromiso original, el gratitud y la subida de privilegios, lo que permite a los actores de amenaza cosechar información relacionada con la documentación de TI, las guías de soporte, los gráficos de ordenamiento y los administradores vSphere, así como las credenciales enumeradas de administradores de contraseñas como Hashicorp Vault u otras soluciones de diligencia de entrada privilegiado (PAM). Se ha descubierto que los atacantes hacen llamadas adicionales a la mesa de ayuda de TI de la compañía para hacerse tener lugar por un administrador de suspensión valencia y solicitar un restablecimiento de contraseña para obtener el control de la cuenta.
- Pivotando al entorno imaginario utilizando el Active Directory asignado a las credenciales de vSphere y obteniendo entrada a VMware VCenter Server Appliance (VCSA), posteriormente de lo cual se ejecuta Teleport para crear una capa inversa persistente y encriptada que pasa por suspensión las reglas de firewall
- Habilitar las conexiones SSH en los hosts ESXI y restablecer las contraseñas de root, y ejecutar lo que se candela un ataque de “swap de disco” para extraer la colchoneta de datos NTDS.DIT Active Directory. El ataque funciona alimentando una máquina imaginario de regulador de dominio (DC) (VM) y separando su disco imaginario, solo para unirlo a otra VM no supervisada bajo su control. Luego de copiar el archivo ntds.dit, todo el proceso se invierte y el DC se enciende.
- Armando el entrada a eliminar trabajos de respaldo, instantáneas y repositorios para inhibir la recuperación
- Uso del entrada SSH a los hosts ESXI para impulsar su binario de ransomware personalizado a través de SCP/SFTP
“El vademécum de jugadas de UNC3944 requiere un cambio fundamental en la organización defensiva, pasando de la caza de amenazas basada en EDR a una defensa proactiva centrada en la infraestructura”, dijo Google. “Esta amenaza difiere del ransomware tradicional de Windows de dos maneras: velocidad y sigilo”.
El coloso tecnológico además llamó a la “velocidad extrema” de los actores de amenaza, afirmando que toda la secuencia de infección desde el entrada original a la exfiltración de datos y la implementación final de ransomware pueden producir en un corto período de unas pocas horas.
Según la Dispositivo 42 de Palo Suspensión Networks, los actores de araña dispersos no solo se han vuelto expertos en la ingeniería social, sino que además se han asociado con el software de ransomware DragonForce (además conocido como Slippery Scorpius), en una instancia que exfiltran más de 100 GB de datos durante un período de dos días.
Para contrarrestar tales amenazas, se aconseja a las organizaciones que sigan tres capas de protecciones.
- Habilitar el modo de soledad de vSphere, aplicar ExecInstalledonly, usar VSphere VM Cifryption, VMS antiguo de desmantelamiento, insensibilizar la mesa de ayuda
- Implementar la autenticación multifactor resistente a phishing (MFA), aislar la infraestructura de identidad crítica, evitar bucles de autenticación
- Centralizar y monitorear los registros secreto, aislar las copias de seguridad de la producción activa directorio y asegúrese de que sean inaccesibles para un administrador comprometido
Google además insta a las organizaciones a rearquitectar el sistema con la seguridad en mente al hacer la transición de VMware vSphere 7, ya que se acerca al final de la vida (EOL) en octubre de 2025.
“El ransomware dirigido a la infraestructura vSphere, incluidos los hosts ESXI y el servidor vCenter, plantea un aventura único oportuno a su capacidad de parálisis de infraestructura inmediata y generalizada”, dijo Google.
“No acometer de guisa proactiva estos riesgos interconectados mediante la implementación de estas mitigaciones recomendadas dejará a las organizaciones expuestas a ataques específicos que pueden paralizar rápidamente toda su infraestructura virtualizada, lo que lleva a la interrupción operativa y la pérdida financiera”.
