El evidente asociación de delitos cibernéticos conocido como Sptered Spider está dirigida a los hipervisores de VMware ESXI en ataques dirigidos a sectores minoristas, de aerolíneas y transporte en América del Meta.
«Las tácticas centrales del asociación se han mantenido consistentes y no dependen de las hazañas de software. En cambio, utilizan un compendio de jugadas probado centrado en las llamadas telefónicas a una mesa de ayuda de TI», dijo el equipo Mandiant de Google en un examen extenso.
«Los actores son agresivos, creativos y particularmente hábiles en el uso de la ingeniería social para evitar los programas de seguridad incluso maduros. Sus ataques no son oportunistas, sino que son operaciones precisas, impulsadas por la campaña dirigidas a los sistemas y datos más críticos de una estructura».
Todavía llamado 0ktapus, Muddled Libra, Octo Tempest y UNC3944, los actores de amenazas tienen un historial de realizar ataques avanzados de ingeniería social para obtener acercamiento original a entornos de víctimas y luego adoptar un enfoque de «Landl) (LOTL) mediante la manipulación de sistemas administrativos de confianza y apalancando su control de directorio activo a givot al entorno VMware VSPHERE.
Google dijo que el método, que proporciona una vía para la exfiltración de datos y la implementación de ransomware directamente desde el hipervisor, es «mucho efectivo», ya que omite las herramientas de seguridad y deja pocos rastros de compromiso.
La cautiverio de ataque se desarrolla en cinco fases distintas –
- El compromiso original, el gratitud y la ascensión de privilegios, lo que permite a los actores de amenaza cosechar información relacionada con la documentación de TI, las guías de soporte, los gráficos de estructura y los administradores vSphere, así como las credenciales enumeradas de administradores de contraseñas como Hashicorp Vault u otras soluciones de mandato de acercamiento privilegiado (PAM). Se ha descubierto que los atacantes hacen llamadas adicionales a la mesa de ayuda de TI de la compañía para hacerse acontecer por un administrador de suspensión valencia y solicitar un restablecimiento de contraseña para obtener el control de la cuenta.
- Pivotando al entorno posible utilizando el Active Directory asignado a las credenciales de vSphere y obteniendo acercamiento a VMware VCenter Server Appliance (VCSA), a posteriori de lo cual se ejecuta Teleport para crear una capa inversa persistente y encriptada que pasa por suspensión las reglas de firewall
- Habilitar las conexiones SSH en los hosts ESXI y restablecer las contraseñas de root, y ejecutar lo que se fogosidad un ataque de «swap de disco» para extraer la almohadilla de datos NTDS.DIT Active Directory. El ataque funciona alimentando una máquina posible de compensador de dominio (DC) (VM) y separando su disco posible, solo para unirlo a otra VM no supervisada bajo su control. Posteriormente de copiar el archivo ntds.dit, todo el proceso se invierte y el DC se enciende.
- Armando el acercamiento a eliminar trabajos de respaldo, instantáneas y repositorios para inhibir la recuperación
- Uso del acercamiento SSH a los hosts ESXI para impulsar su binario de ransomware personalizado a través de SCP/SFTP
«El compendio de jugadas de UNC3944 requiere un cambio fundamental en la táctica defensiva, pasando de la caza de amenazas basada en EDR a una defensa proactiva centrada en la infraestructura», dijo Google. «Esta amenaza difiere del ransomware tradicional de Windows de dos maneras: velocidad y sigilo».
El superhombre tecnológico incluso llamó a la «velocidad extrema» de los actores de amenaza, afirmando que toda la secuencia de infección desde el acercamiento original a la exfiltración de datos y la implementación final de ransomware pueden producir en un corto período de unas pocas horas.
Según la Mecanismo 42 de Palo Parada Networks, los actores de araña dispersos no solo se han vuelto expertos en la ingeniería social, sino que incluso se han asociado con el software de ransomware DragonForce (incluso conocido como Slippery Scorpius), en una instancia que exfiltran más de 100 GB de datos durante un período de dos días.
Para contrarrestar tales amenazas, se aconseja a las organizaciones que sigan tres capas de protecciones.
- Habilitar el modo de obstrucción de vSphere, aplicar ExecInstalledonly, usar VSphere VM Cifryption, VMS antiguo de desmantelamiento, deshumanizar la mesa de ayuda
- Implementar la autenticación multifactor resistente a phishing (MFA), aislar la infraestructura de identidad crítica, evitar bucles de autenticación
- Centralizar y monitorear los registros esencia, aislar las copias de seguridad de la producción activa directorio y asegúrese de que sean inaccesibles para un administrador comprometido
Google incluso insta a las organizaciones a retornar a arquitectar sus sistemas con la seguridad al hacer la transición de VMware vSphere 7, ya que se acerca al final de la vida (EOL) en octubre de 2025.
«El ransomware dirigido a la infraestructura vSphere, incluidos los hosts ESXI y el servidor vCenter, plantea un aventura único correcto a su capacidad de parálisis de infraestructura inmediata y generalizada», dijo Google.
«No enfrentarse de modo proactiva estos riesgos interconectados mediante la implementación de estas mitigaciones recomendadas dejará a las organizaciones expuestas a ataques específicos que pueden paralizar rápidamente toda su infraestructura virtualizada, lo que lleva a la interrupción operativa y la pérdida financiera».
