El infame grupo cibercriminal conocido como arañas dispersas está dirigida a los hipervisores de VMware ESXi en ataques dirigidos a los sectores de venta minorista, aerolíneas y transporte de América del Norte.
«Las tácticas centrales del grupo son consistentes y no dependen de las hazañas de software. En cambio, utilizamos libros de jugadas probados centrados en llamar a la mesa de ayuda de TI», dijo el equipo Mandiant de Google en un análisis extenso.
«Los actores son ofensivos y creativos, especialmente hábiles para evitar programas de seguridad maduros utilizando ingeniería social. Los ataques no son oportunistas, pero son operaciones precisas e impulsadas por la campaña dirigidas a los sistemas y datos más importantes de la organización».
También conocido como 0ktapus, confusión Libra, Oct Tempest y UNC3944, los actores de amenaza adoptan un enfoque «LOTL) mediante la implementación de ataques sofisticados de ingeniería social para obtener acceso inicial al entorno de víctimas, operar sistemas de gestión confiables y aprovechar los controles de activo directorio del VMware.
Google dijo que el método, que proporciona una vía para la eliminación de datos y la implementación de ransomware directamente desde el hipervisor, es «muy efectivo», ya que omite las herramientas de seguridad y deja casi un rastro de compromiso.
La cadena de ataque se desarrolla en cinco fases diferentes –
Los compromisos tempranos, el reconocimiento y la escalada de privilegios permiten a los actores de amenaza recopilar información relacionada con documentos de TI, guías de soporte, cuadros organizacionales y administradores de vSphere, y enumerar las credenciales de los administradores de contraseñas como Hashicorp Vault y otras soluciones de gestión de acceso privilegiado (PAM). Se ha descubierto que el atacante realiza llamadas adicionales a la mesa de ayuda de TI de la compañía, hacerse pasar por un valioso administrador y solicitar un restablecimiento de contraseña para obtener el control de la cuenta. Pivote en el entorno virtual utilizando el activo mapeado para las credenciales de vSphere y obtenga acceso al dispositivo VMware vCenter Server (VCSA). Luego se realiza un teletransporte para permitir que las conexiones SSH en el host ESXi y crear un shell inverso permanente y cifrado para habilitar las conexiones SSH para ejecutar la raíz de resolución si no se esconden usando una contraseña. NTDS.DIT Active Directory Database. Este ataque funciona al encender una máquina virtual de controlador de dominio (DC) (VM) y eliminar el disco virtual. Después de copiar el archivo ntds.dit, todo el proceso se invierte y el DC se enciende. Armario de acceso a trabajos de copia de seguridad de eliminación, instantáneas y repositorio, use el acceso SSH a los hosts ESXI para bloquear la recuperación y empujar binarios de ransomware personalizados a través de SCP/SFTP
«El libro de jugadas de UNC3944 requiere un cambio fundamental en las estrategias defensivas que pasan de la caza de amenazas basada en EDR a un movimiento de una defensa proactiva centrada en la infraestructura», dijo Google. «Esta amenaza difiere del ransomware tradicional de Windows de dos maneras: velocidad y sigilo».
El gigante de la tecnología pidió «velocidad extrema» para los actores de amenazas, diciendo que los datos que se desprenden del acceso inicial y toda la secuencia de infección de la implementación final de ransomware podría ocurrir en cuestión de horas.
Según la Unidad 42 de Palo Alto Networks, los actores de araña dispersos no solo son competentes en ingeniería social, sino que se están asociando con el programa de ransomware Dragonforce (también conocido como Slippery Scorpius), excluyendo más de 100 GB de datos durante dos días.
Para combatir tales amenazas, las organizaciones recomiendan seguir tres capas de protección –
Habilita el modo de bloqueo vSphere, aplica decinstalledonly, implementa el cifrado VM VM, las máquinas virtuales obsoletas, la autenticación multifactorial (MFA) resistente al phishing que endurece su mesa de ayuda e implementa la infraestructura de identidad crítica aislada.
Google también insta a las organizaciones a reorganizar sus sistemas con la seguridad en mente cuando migra de VMware vSphere 7 para acercarse al final de la vida (EOL) en octubre de 2025.
«El ransomware dirigido a la infraestructura vSphere, incluidos los hosts ESXi y los servidores vCenter, plantea sus propios riesgos graves debido a la capacidad de paralizar la infraestructura de manera instantánea y amplia», dijo Google.
«Incapaz de abordar activamente estos riesgos interconectados mediante la implementación de estas mitigaciones recomendadas exponer a las organizaciones a ataques específicos que podrían paralizar rápidamente toda la infraestructura virtualizada, lo que lleva a la interrupción operativa y las pérdidas financieras».
Source link
