O Grupo de Cibercriminosos Conhecido como aranha dispersa Está conduzindo Uma Nova Onda de Ataques Direcionados A Ambientes Virtualizados, com Foco nos Hipervisores vmware Esxi. Segundo o Grupo de Inteligência de Ameatas do Google (GTIG), OS Alvos Incluem Empresas Americanas Dos Sértores de Varejo, Transporte, CompanHias Aéreas E Seguros.
Leia Tamboma
Como o Google EUA ia para migrar Seu Próprio Códão
Quando uma personalidade Ajuda na Segurança Cibernética
Os ataques não exploram vulnerabilidades técricas, mas se baseiam em engenharia Social Altamenthe sofisticada. OS Invasores Iniciam o Ataque Se Pasando por Funcionários em Chamadas para Suporte Técnico, com Objetivo de Conveners agente um Alterar Senhas de Contas No Active Directory. Com esse acesse, o Grupo Começa A MapEar a Rede em Busca de Documentação de Ti, Nomes de Administradores de Domínio e Grupos de Segurança Vinculados Ao Vmware VSphere.
DURANTE ESSA FASE, OS HACKERS TAMBÉM PROCURAM SOLUÇÕES DE GERENCIAMENTO DE ACESSO PRIVILEGIADO (PAM), Que Podem Conter Dados Sensíseis e Fornecer Aceso A Ativos Valiosos. Com o administrador de Alto Nível em Mãos, Eles Fazem Novas Chamadas Fingindo Ser Essese Usurio e Solicitam uma Redefinição de Senha, assumindo o Controle da Conta Privilegiava.
O Próximo Passo é Obter Acessar AO VMware VCenter Server Appliance (VCSA), Que Gerencia OS Ambientes vSphere E OS Hipervisores Esxi. Com esse nível de acesso, os invasores de invasores ativam conexões ssh nos recebe Esxi, redefinem senhas raiz e executam o Chamado ataca de troca de disco. Nesse Ataque, Uma Máquina Virtual do Controlador de Domínio É Apagada, Seu Disco Virtual É Anexado A VM Controlada Pelos Invasores, e os Dadas Sensíseis, Como o Arquivo ntds.dit, São Copiados. Depois, o Processo é revertido ea máquina original é religada.
ASSE CONTROLE PERMITE QUE O GRUPO GERENCIE TODOS OS ATIVOS DA infraestrutura, inclluindo Máquinas de Backup, Que São Apagadas junto com Seus Snapshots e repositórios. Na Fase Fase, o acesse ssh é Unosado para implantar binárrios de ransomware que criptografam Todos os arquivos de máquinas virtuais detectados.
Segundo o Gtig, o Ataque Segue Cinco Fases Distintas, Desde o Aceso inicial ATÉ A EXFILTRAÇÃO DE DADOS EAGANTAÇÃO DE RANSOMWARE. TODO o Processo Pode Ocorrer Em Poucas Horas, Mesmo SEM Explorar Falhas de Software. O NÍVEL DE CONTROLE obtido permite que os invasores do contornem diversos mecanismos tradicionais de segurança.
Embora Ataques Ao Esxi Não Sejam Novidade, Como No Caso da Violaça da MGM Resorts em 2023, o Gtig Observa Que Mais Grupos de Ransomware Estão Adotando Essa Abordagem. Um pode Uma Das Razões SER A FALTA DE FAMÍLIA DAS Organizações com uma infraestrutura vmware, o que ResultA em Defesa Menos Robustas.
Para Ajudar Empresas a Se protegerem, O Google Publicou UM Guia Técnico com Recomendações divididas em três pilares. O Primeiro Propõe bloquear o vSphere com as configurações restritivas, desativar ssh e applicar políticos de acesse rigorosas. O Segundo Recomenda o Uso de Autenticação Multifator Resistente A Phishing, Isolamento de Ativos críticos e Adoça de Provedores de Identidade Separados. O Terceiro Sugere Centralizar registra em um siem, Monitorar Alteraze Administrativas e Mantter Backups Imutáveis com testes regulares de recuperação.
O aranha dispersa, tambémo conhecido como unc3944, outubro tempest ou 0ktapus, é um grupo motivado finanças e especializado em engenharia social. Seus membros são capazes de se passar por funcionários legítimos, imitando vocabulário e sotiques. Apesar da prisão de quatro suspeitos pela agencia nacional de crimes do reino unido, uma atividada maliciosa continua ativa em ultra -núcleos do Grupo.
