Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ataque de ransomware Scattered Spider

Ataque de ransomware Scattered Spider

Por Mezo en Ransomware, Amenaza persistente avanzada (APT)
Traducir a:

Scattered Spider, un sofisticado y agresivo grupo de ciberdelincuencia, ha intensificado sus ataques contra los hipervisores VMware ESXi. Dirigidos a sectores clave como el comercio minorista, las aerolíneas y el transporte en Norteamérica, sus operaciones son calculadas, deliberadas y extremadamente efectivas. Su éxito no reside en exploits de software, sino en su dominio de la ingeniería social y la manipulación de sistemas de confianza.

Tácticas sin exploits: la ingeniería social en el núcleo

En lugar de explotar vulnerabilidades de software, Scattered Spider recurre a una táctica de eficacia comprobada: la ingeniería social telefónica. El grupo suele contactar con el servicio de asistencia de TI para hacerse pasar por personal legítimo, incluyendo administradores con altos privilegios. Estas llamadas forman parte de una estrategia más amplia, impulsada por campañas, lo que hace que sus ataques sean todo menos aleatorios. Planifican meticulosamente sus operaciones para atacar los sistemas y datos más sensibles de la organización.

Los actores de Scattered Spider son conocidos por registrar dominios engañosos que imitan fielmente la infraestructura o los portales de inicio de sesión de sus objetivos. Los patrones de nombres comunes incluyen:

  • nombredevíctima-sso.com
  • nombredevíctima-okta.com
  • nombredevíctima-servicedesk.com
  • sso-nombredelavictima.com
  • servicenow-nombredelavictima.com

Del Help Desk al Hipervisor: La Cadena de Ataque Multifase

La metodología de ataque de Scattered Spider se desarrolla a través de cinco fases estratégicas, cada una diseñada para escalar el acceso y minimizar la detección:

Acceso inicial y escalada de privilegios
Los atacantes comienzan con ingeniería social para suplantar la identidad de empleados, obtener credenciales y recopilar documentación interna. Suelen extraer datos de gestores de contraseñas como HashiCorp Vault y aprovechar los procesos de soporte técnico para restablecer las contraseñas de administrador.

Movimiento lateral a vSphere
Al aprovechar las credenciales de Active Directory asignadas a entornos VMware, acceden a vCenter Server Appliance (vCSA). Se implementa una herramienta llamada teleport para crear un shell inverso cifrado que ignora las reglas del firewall y establece un acceso persistente.

Manipulación del hipervisor y extracción de datos
Se habilita SSH en los hosts ESXi, se restablecen las contraseñas root y se ejecuta un ataque de intercambio de disco. Esto implica apagar una máquina virtual del controlador de dominio, desconectar su disco virtual, conectarlo a una máquina virtual controlada por el atacante y extraer la base de datos NTDS.dit antes de revertir el proceso.

Desactivación de los mecanismos de recuperación
Se eliminan trabajos de respaldo, instantáneas y repositorios para eliminar las opciones de recuperación y amplificar el impacto del ataque.

Implementación de ransomware
Los binarios de ransomware personalizados se envían a través de SCP o SFTP a los hosts ESXi comprometidos, cifrando los sistemas críticos en todo el entorno virtual.

La velocidad y el sigilo de Scattered Spider

Lo que distingue a Scattered Spider, también conocido con alias como 0ktapus, Muddled Libra, Octo Tempest y UNC3944, de los actores tradicionales de ransomware es la velocidad y el sigilo de sus operaciones. Los expertos señalan que todo el ataque, desde el acceso inicial hasta la implementación del ransomware, puede ocurrir en tan solo unas horas. En algunos casos, se han exfiltrado más de 100 GB de datos en menos de 48 horas. El grupo también ha sido vinculado al programa de ransomware DragonForce, lo que amplía aún más sus capacidades.

Estrategias de defensa cambiantes: de EDR a seguridad centrada en la infraestructura

Debido a la naturaleza de estos ataques, las herramientas estándar de detección y respuesta de endpoints (EDR) podrían no ser suficientes. La defensa contra Scattered Spider requiere un enfoque holístico centrado en la infraestructura. Se recomienda encarecidamente la siguiente estrategia de defensa por capas:

Capa 1: Refuerzo de vSphere e hipervisor

  • Habilitar el modo de bloqueo en vSphere
  • Aplicar execInstalledOnly
  • Utilice el cifrado de VM
  • Retire las máquinas virtuales no utilizadas o obsoletas.
  • Proteger y capacitar al servicio de asistencia técnica contra tácticas de suplantación de identidad.

Capa 2: Protección de identidad y acceso

  • Implementar autenticación multifactor (MFA) resistente al phishing.
  • Segregar la infraestructura de identidad crítica.
  • Evite las dependencias de autenticación circulares que los atacantes pueden explotar.

Capa 3: Monitoreo y aislamiento de respaldo

  • Centralice la supervisión de registros desde la infraestructura clave.
  • Aislar las copias de seguridad del acceso a Active Directory.
  • Asegúrese de que las copias de seguridad sean inaccesibles incluso para las cuentas de administrador comprometidas.

Conclusión: Una nueva era de riesgo de ransomware

El ransomware que ataca el ecosistema vSphere, en particular los hosts ESXi y vCenter Server, representa una grave amenaza debido a su potencial de causar interrupciones rápidas y a gran escala. La naturaleza calculada de las operaciones de Scattered Spider resalta la necesidad de que las organizaciones reconsideren sus estrategias de defensa. Ignorar estos riesgos o retrasar la implementación de las contramedidas recomendadas puede tener consecuencias catastróficas, como tiempos de inactividad graves, pérdida de datos y daños financieros.

Tendencias

Mas Visto

Cargando...