O grupo Scattered Spider lidera uma nova onda de ataques cibernéticos mirando a plataforma de virtualização de computação em nuvem VMware vSphere. Conforme revelou o Grupo de Inteligência de Ameaças do Google (GTIG), na última quarta-feira (23), empresas dos setores de varejo, seguros e companhias aéreas dos Estados Unidos são os alvos.
A organização, também conhecida como UNC3944 e 0ktapus, segue ativa e realizando ataques mesmo com vários integrantes presos depois de invadirem os sistemas da MGM Resorts e grandes varejistas nos mercados americano e britânico, segundo o relatório. Nesta nova campanha, os autores não exploram vulnerabilidades de segurança.
)
Como acontece o ataque?
O alvo agora está nas contas comprometidas do Active Directory, possibilitando obter acesso total aos ambientes virtualizados para o roubo de informações sigilosas e a distribuição de ransomware entre as empresas que usam o VMware vSphere. Para tanto, os cibercriminosos usam técnicas de engenharia social.
- De acordo com o GTIG, membros do Scattered Spider se passam por funcionários de clientes da plataforma e ligam para o suporte técnico;
- Aproveitando informações disponíveis publicamente e métodos persuasivos, os hackers convencem os atendentes a redefinirem as senhas para o Active Directory;
- Depois, eles mapeiam a rede em busca de alvos de alto valor e fazem uma nova ligação para o suporte, trocando a senha de administrador com privilégios avançados;
- Nos passos seguintes, os cibercriminosos obtêm acesso a uma máquina virtual para gerenciar todo o ambiente, redefinindo senhas e copiando os arquivos disponíveis;
- Eles acessam os ativos da infraestrutura por completo, incluindo as máquinas de backup, e implantam o ransomware, criptografando todos os arquivos detectados.
O ataque envolve cinco fases específicas e chama a atenção pela velocidade da operação. Do acesso inicial a partir da ligação para o suporte até o sequestro dos arquivos geralmente passam apenas poucas horas, como explicaram os pesquisadores que identificaram a campanha.
Mesmo com esse tipo de ataque não sendo novidade, o GTIG destaca que a falta de familiaridade com o ambiente VMware tem deixado as organizações vulneráveis, possibilitando ações maliciosas que não dependem da exploração de falhas técnicas.
)
Formas de mitigação
Os especialistas em segurança do Google divulgaram um guia que pode ajudar as empresas a se protegerem deste novo ataque do Scattered Spider. Uma das medidas é bloquear o acesso ao vSphere usando configurações mais restritivas, bem como monitorar os ajustes feitos no sistema.
A equipe também sugeriu adotar a autenticação multifator resistente a phishing e o isolamento de ativos críticos em plataformas na nuvem separadas. Outras recomendações são o monitoramento de alterações administrativas e a opção por backups imutáveis com testes de recuperação frequentes.
- Fique por dentro: Matanbuchus 3.0: hackers estão usando Teams para disseminar novo malware
Já a proteção contra ataques de engenharia social envolve a realização de treinamentos específicos, que ajudam a verificar se alguém realmente é quem diz ser. Todas as orientações estão disponíveis no site do GTIG.
Curtiu o conteúdo? Continue no TecMundo e compartilhe as notícias com os amigos nas redes sociais.
)
)
)
)
)
)
)
)
)
)
)
)
)
