- O Google avisa as táticas avançadas de engenharia social do SpatteredSpider
- Os hackers ganham acesso privilegiado e o usam para implantar ransomware
- O grupo tem como alvo infraestrutura crítica, varejo, companhia aérea e outras indústrias
O infame Grupo de Ransomware SpatteredSpider está usando instâncias de VMware para direcionar organizações críticas de infraestrutura nos EUA, alertaram os pesquisadores.
Pesquisadores de segurança do Google Threat Intelligence Group (GITG) têm encontrado Os criminosos estão visando empresas de infraestrutura crítica, mas também indústrias de varejo, companhias aéreas e seguros.
A campanha é descrita como “sofisticada e agressiva”, dividida em várias fases que não duram mais do que algumas horas, alertam os especialistas.
Em The Hunt for VCSA
Na campanha, os hackers não exploram nenhuma vulnerabilidade, mas optam por engenharia social “agressiva, criativa e particularmente qualificada”. Eles primeiro alcançam a mesa de TI da vítima, representando um funcionário e pedindo uma redefinição na conta do Funcionário do Active Directory.
Depois de ganhar o ponto de apoio inicial, eles digitalizariam a rede para identificar metas de alto valor, como nomes de domínio, administradores VMware vSphere e outros departamentos de segurança que podem conceder a eles acesso administrador ao ambiente virtual.
Em seguida, eles chegariam a isso novamente, desta vez posando como um usuário mais privilegiado, pedindo novamente uma redefinição de senha – mas para uma conta com privilégios mais altos.
A partir daí, eles procuram acessar o VMware VCenter Server Appliance (VCSA), uma máquina virtual baseada em Linux pré-configurada que fornece gerenciamento centralizado para ambientes VMware vSphere, incluindo o hipervisor Esxi.
Isso, por sua vez, permite que eles ativem as conexões SSH nos hosts ESXi, redefinindo as senhas raiz.
A partir deste ponto, trata -se de identificar e exfiltrar informações confidenciais, em preparação para a implantação de um criptopo. Linhar por toda a rede é a fase final do ataque, após o qual as vítimas são pressionadas a pagar uma demanda de resgate.
O GTIG diz que todo o ataque acontece rapidamente, passando do acesso inicial à implantação de ransomware em “meras horas”, alertando as empresas a reforçar sua segurança em toda a placa e usar o MFA resistente a phishing.
Via BleepingComputer
Fique conectado