El notorio grupo de delitos cibernéticos conocido como Sptered Spider está dirigida a los hipervisores de VMware ESXI en ataques dirigidos a sectores minoristas, de aerolíneas y transporte en América del Norte.
«Las tácticas centrales del grupo se han mantenido consistentes y no dependen de las hazañas de software. En cambio, utilizan un libro de jugadas probado centrado en las llamadas telefónicas a una mesa de ayuda de TI», dijo el equipo Mandiant de Google en un análisis extenso.
«Los actores son agresivos, creativos y particularmente hábiles en el uso de la ingeniería social para evitar los programas de seguridad incluso maduros. Sus ataques no son oportunistas, sino que son operaciones precisas, impulsadas por la campaña dirigidas a los sistemas y datos más críticos de una organización».
También llamado 0ktapus, Muddled Libra, Octo Tempest y UNC3944, los actores de amenazas tienen un historial de realizar ataques avanzados de ingeniería social para obtener acceso inicial a entornos de víctimas y luego adoptar un enfoque de «Landl) (LOTL) mediante la manipulación de sistemas administrativos de confianza y apalancando su control de directorio activo a givot al entorno VMware VSPHERE.
Google dijo que el método, que proporciona una vía para la exfiltración de datos y la implementación de ransomware directamente desde el hipervisor, es «altamente efectivo», ya que omite las herramientas de seguridad y deja pocos rastros de compromiso.
La cadena de ataque se desarrolla en cinco fases distintas –
- El compromiso inicial, el reconocimiento y la escalada de privilegios, lo que permite a los actores de amenaza cosechar información relacionada con la documentación de TI, las guías de soporte, los gráficos de organización y los administradores vSphere, así como las credenciales enumeradas de administradores de contraseñas como Hashicorp Vault u otras soluciones de gestión de acceso privilegiado (PAM). Se ha descubierto que los atacantes hacen llamadas adicionales a la mesa de ayuda de TI de la compañía para hacerse pasar por un administrador de alto valor y solicitar un restablecimiento de contraseña para obtener el control de la cuenta.
- Pivotando al entorno virtual utilizando el Active Directory asignado a las credenciales de vSphere y obteniendo acceso a VMware VCenter Server Appliance (VCSA), después de lo cual se ejecuta Teleport para crear una capa inversa persistente y encriptada que pasa por alto las reglas de firewall
- Habilitar las conexiones SSH en los hosts ESXI y restablecer las contraseñas de root, y ejecutar lo que se llama un ataque de «swap de disco» para extraer la base de datos NTDS.DIT Active Directory. El ataque funciona alimentando una máquina virtual de controlador de dominio (DC) (VM) y separando su disco virtual, solo para unirlo a otra VM no supervisada bajo su control. Después de copiar el archivo ntds.dit, todo el proceso se invierte y el DC se enciende.
- Armando el acceso a eliminar trabajos de respaldo, instantáneas y repositorios para inhibir la recuperación
- Uso del acceso SSH a los hosts ESXI para impulsar su binario de ransomware personalizado a través de SCP/SFTP
«El libro de jugadas de UNC3944 requiere un cambio fundamental en la estrategia defensiva, pasando de la caza de amenazas basada en EDR a una defensa proactiva centrada en la infraestructura», dijo Google. «Esta amenaza difiere del ransomware tradicional de Windows de dos maneras: velocidad y sigilo».
El gigante tecnológico también llamó a la «velocidad extrema» de los actores de amenaza, afirmando que toda la secuencia de infección desde el acceso inicial a la exfiltración de datos y la implementación final de ransomware pueden producir en un corto período de unas pocas horas.
Según la Unidad 42 de Palo Alto Networks, los actores de araña dispersos no solo se han vuelto expertos en la ingeniería social, sino que también se han asociado con el programa de ransomware DragonForce (también conocido como Slippery Scorpius), en una instancia que exfiltran más de 100 GB de datos durante un período de dos días.
Para contrarrestar tales amenazas, se aconseja a las organizaciones que sigan tres capas de protecciones.
- Habilitar el modo de bloqueo de vSphere, aplicar ExecInstalledonly, usar VSphere VM Cifryption, VMS antiguo de desmantelamiento, endurecer la mesa de ayuda
- Implementar la autenticación multifactor resistente a phishing (MFA), aislar la infraestructura de identidad crítica, evitar bucles de autenticación
- Centralizar y monitorear los registros clave, aislar las copias de seguridad de la producción activa directorio y asegúrese de que sean inaccesibles para un administrador comprometido
Google también insta a las organizaciones a rearquitectar el sistema con la seguridad en mente al hacer la transición de VMware vSphere 7, ya que se acerca al final de la vida (EOL) en octubre de 2025.
«El ransomware dirigido a la infraestructura vSphere, incluidos los hosts ESXI y el servidor vCenter, plantea un riesgo único debido a su capacidad de parálisis de infraestructura inmediata y generalizada», dijo Google.
«No abordar de manera proactiva estos riesgos interconectados mediante la implementación de estas mitigaciones recomendadas dejará a las organizaciones expuestas a ataques específicos que pueden paralizar rápidamente toda su infraestructura virtualizada, lo que lleva a la interrupción operativa y la pérdida financiera».