Поделиться
Хакеры активно атакуют гипервизоры VMware. Четверо подозреваемых арестованы
Используя главным образом социальную инженерию, хакеры добиваются максимальных привилегий в средах виртуализации, после чего запускают туда шифровальщик
Неугомонные
Хакерская группировка Scattered Spider, несмотря на недавний арест четырех подозреваемых, продолжает наращивать интенсивность атак. В последнее время они, похоже, всерьез сосредоточились на гипервизорах VMware ESXi в американских компаниях. Наибольшее количество жертв приходится на ритейл, авиалинии, транспортные и страховые компании.
По данным Google Threat Intelligence Group, злоумышленники придерживаются своей типичной тактики: вместо попыток эксплуатировать какие-либо уязвимости они используют социальную инженерию, благодаря чему им удается обходить даже самые зрелые средства безопасности.
По сведениям исследователей, злоумышленники начинают со звонка в техподдержку целевой компании от лица одного из ее работников: хакеры просят поменять пароль к пользовательскому аккаунту Active Directory. Таким образом злоумышленники получают первоначальный доступ, после чего начинают интенсивно сканировать сетевые устройства на предмет ИТ-документации, чтобы определить наиболее интересные для них цели, - например, рабочие станции администраторов VMware vSphere. Кроме того, они пытаются получить сведения о названии доменов и группах безопасности, через которые можно получить административные разрешения в виртуальных средах.
В то же время они сканируют сеть на предмет средств управления привилегированным доступом (PAM), опять же, чтобы получить полезные им сведения о наиболее важных активах сети.
Как пишут исследователи Google, обладая данными о конкретном администраторе с высоким уровнем доступа хакеры снова звонят в техподдержку - уже от его имени - с просьбой произвести сброс пароля. Тем самым они перехватывают контроль над этим аккаунтом.
Низко висящие фрукты
Далее злоумышленники пытаются получить доступ к управляющей виртуальной машине VMware vCenter Server Appliance, с помощью которой можно получить доступ к гипервизору ESXi.
Полученный к этому времени уровень доступа позволяет хакерам устанавливать SSH-соединения с хостами ESXi и перезадавать ключевой пароль. После этого злоумышленники осуществляют атаку disk-swap (подмена диска), чтобы выцедить критическую базу данных NTDS.dit. В ходе такой атаки злоумышленники отключают виртуальный доменный контроллер, а затем подключают связанный с ним диск к другой виртуальной машине, неподконтрольной гипервизору. Скопировав данные, они возвращают все к прежнему состоянию.
В конечном счете хакеры получают доступ ко всему, что может содержаться в виртуальной инфраструктуре, включая системы резервного копирования. Естественно, операторы Scattered Spider удаляют с ним все данные.
На последнем этапе атаки в виртуализированную среду заносятся исполняемые файлы шифровальщика, который блокирует в ней все данные.
Эксперты Google пишут, что и другие кибервымогатели все активнее перенимают тактику Scattered Spider, атакуя в первую очередь среды виртуализации. Это связано с тем, что использующие их организации не всегда в полной мере понимают, как это работает и как следует защищать виртуальные машины. В результате защита оказывается слабее, чем ей следовало бы быть.
GTIG дает следующие рекомендации:
vSphere следует заблокировать с помощью параметра execInstalledOnly; необходимо включить шифрование виртуальных машин и отключить SSH. Стоит избегать прямого подключения ESXi к Active Directory, а также важно удалить незадействованные виртуальные машины и использовать многофакторную аутентификацию (МФА) и политику максимальных ограничений контроля доступа. Постоянно отслеживайте отклонения от конфигурации.
Для доступа через VPN, AD и vCenter необходимо использовать стойкую к фишинговым атакам МФА. Следует также изолировать ресурсы уровня Tier 0 (контроллеры домена, резервные копии, PAM) и никогда не размещать их внутри той же инфраструктуры, которую они защищают. Рекомендовано использовать облачные системы идентификации (IdP), не зависящие от Active Directory.
Вдобавок к этому рекомендуется централизировать журналы в SIEM и настроить оповещения по ключевым событиям - таким как изменения в группах администраторов, входы в vCenter и включение SSH. Резервные копии должны не поддаваться изменениям, и лучше, если они будут храниться в полностью изолированных системах. Рекомендуется также регулярно проверять возможности по восстановлению после атак на уровне гипервизора.
«Успешная атака на среды виртуализации грозит полностью парализовать деятельность организации, а при отсутствии должной защиты виртуальные среды оказываются самым уязвимым местом в инфраструктуре», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «В этой связи повышенный интерес киберкриминала к виртуальным средам легко объясним - это «низко висящий фрукт»».
Эксперт добавила, что критически необходимо также обучать персонал, в том числе в департаментах технической поддержки, распознавать фишинг и противодействовать ему.
Короткая ссылка
