O notório grupo de cibercrime conhecido como Scattered Spider está mirando hipervisores VMware ESXi em ataques direcionados aos setores de varejo, companhias aéreas e transporte na América do Norte.
"As táticas centrais do grupo permaneceram consistentes e não dependem de explorações de software.
Em vez disso, eles utilizam um livro de jogadas comprovado centrado em ligações para um help desk de TI", disse a equipe da Mandiant do Google em uma análise extensiva.
Os atores são agressivos, criativos e particularmente habilidosos em usar engenharia social para contornar até mesmo programas de segurança maduros.
Seus ataques não são oportunistas, mas operações precisas e dirigidas a campanhas visando os sistemas e dados mais críticos de uma organização. Também chamados de 0ktapus, Muddled Libra, Octo Tempest e UNC3944, os atores de ameaças têm um histórico de condução de ataques avançados de engenharia social para obter acesso inicial aos ambientes das vítimas e então adotar uma abordagem de "living-off-the-land" (LotL) manipulando sistemas administrativos confiáveis e aproveitando seu controle do Active Directory para pivotar para o ambiente VMware vSphere.
O Google disse que o método, que fornece um caminho para exfiltração de dados e implantação de ransomware diretamente do hipervisor, é "altamente eficaz", pois ele contorna ferramentas de segurança e deixa poucos rastros de comprometimento.
A cadeia de ataque se desdobra em cinco fases distintas:
Comprometimento inicial, reconhecimento e escalada de privilégios, permitindo aos atores de ameaças colher informações relacionadas à documentação de TI, guias de suporte, organogramas e administradores do vSphere, bem como enumerar credenciais de gerenciadores de senha como HashiCorp Vault ou outras soluções de Privileged Access Management (PAM).
Os atacantes foram encontrados fazendo ligações adicionais para o help desk de TI da empresa para se passar por um administrador de alto valor e solicitar uma redefinição de senha para ganhar controle da conta.
Pivotando para o ambiente virtual usando o Active Directory mapeado para credenciais do vSphere e ganhando acesso ao VMware vCenter Server Appliance (vCSA), após o qual o teleport é executado para criar um shell reverso persistente e criptografado que contorna as regras do firewall.
Habilitando conexões SSH em hosts ESXi e redefinindo senhas root, e executando o que é chamado de ataque de "troca de disco" para extrair o banco de dados do Active Directory NTDS.dit.
O ataque funciona desligando uma máquina virtual de Controlador de Domínio (DC) e desanexando seu disco virtual, apenas para anexá-lo a outra VM não monitorada sob seu controle.
Após copiar o arquivo NTDS.dit, todo o processo é revertido e o DC é ligado novamente.
Armando o acesso para deletar trabalhos de backup, snapshots e repositórios para inibir a recuperação
Usando o acesso SSH aos hosts ESXi para empurrar seu binário de ransomware personalizado via SCP/SFTP
"O playbook do UNC3944 requer uma mudança fundamental na estratégia de defesa, movendo de caça à ameaças baseada em EDR para uma defesa proativa, centrada na infraestrutura", disse o Google.
"Essa ameaça difere do ransomware tradicional para Windows em duas formas: velocidade e discrição." A gigante da tecnologia também destacou a "velocidade extrema" dos atores da ameaça, afirmando que toda a sequência de infecção, desde o acesso inicial até a exfiltração de dados e a implantação final do ransomware, pode ocorrer em um curto período de algumas horas.
Segundo a Unit 42 da Palo Alto Networks, os atores do Scattered Spider não só se tornaram adeptos da engenharia social, mas também se associaram ao programa de ransomware DragonForce (também conhecido como Slippery Scorpius), exfiltrando mais de 100 GB de dados durante um período de dois dias.
Para combater tais ameaças, as organizações são aconselhadas a seguir três camadas de proteções:
Habilitar o modo de bloqueio do vSphere, impor execInstalledOnly, usar criptografia VM do vSphere, desativar VMs antigas, fortalecer o help desk;
Implementar autenticação multifator (MFA) resistente a phishing, isolar infraestrutura de identidade crítica, evitar loops de autenticação;
Centralizar e monitorar logs chave, isolar backups do Active Directory de produção e garantir que eles sejam inacessíveis a um administrador comprometido.
O Google também está instando as organizações a re-arquitetar o sistema com a segurança em mente ao fazer a transição do VMware vSphere 7, à medida que ele se aproxima do fim da vida útil (EoL) em outubro de 2025.
"Ransomware direcionado à infraestrutura do vSphere, incluindo hospedeiros ESXi e vCenter Server, representa um risco severamente único devido à sua capacidade de paralisar imediata e amplamente a infraestrutura", disse o Google.
Falhar em endereçar proativamente esses riscos interconectados através da implementação dessas mitigações recomendadas deixará as organizações expostas a ataques direcionados que podem rapidamente incapacitar toda a sua infraestrutura virtualizada, levando a interrupções operacionais e perdas financeiras.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...