Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Ransomware Scattered Spider Ransomware-Angriff

Scattered Spider Ransomware-Angriff

Von Mezo in Ransomware, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

Scattered Spider, eine hochentwickelte und aggressive Cybercrime-Gruppe, hat ihre Angriffe auf VMware ESXi-Hypervisoren verstärkt. Die Gruppe zielt auf Schlüsselsektoren wie Einzelhandel, Fluggesellschaften und Transport in Nordamerika ab. Ihre Operationen sind kalkuliert, gezielt und äußerst effektiv. Ihr Erfolg beruht nicht auf Software-Exploits, sondern auf ihrer Meisterschaft im Social Engineering und der Manipulation vertrauenswürdiger Systeme.

Taktiken ohne Exploits: Social Engineering im Kern

Anstatt Schwachstellen in Software auszunutzen, setzt Scattered Spider auf eine bewährte Taktik: Social Engineering per Telefon. Die Gruppe kontaktiert häufig IT-Helpdesks und gibt sich als legitimes Personal aus, darunter auch Administratoren mit hohen Berechtigungen. Diese Anrufe sind Teil einer umfassenderen, kampagnenorientierten Strategie, wodurch ihre Angriffe alles andere als zufällig erfolgen. Sie planen ihre Operationen sorgfältig, um die sensibelsten Systeme und Daten innerhalb eines Unternehmens anzugreifen.

Scattered Spider-Akteure sind dafür bekannt, betrügerische Domains zu registrieren, die die Infrastruktur oder Anmeldeportale ihrer Ziele genau nachahmen. Gängige Namensmuster sind:

  • victimname-sso.com
  • victimname-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Vom Helpdesk zum Hypervisor: Die mehrphasige Angriffskette

Die Angriffsmethodik von Scattered Spider verläuft über fünf strategische Phasen, die jeweils darauf ausgelegt sind, den Zugriff zu erhöhen und die Erkennung zu minimieren:

Erstzugriff und Rechteerweiterung
Die Angreifer beginnen mit Social Engineering, um sich als Mitarbeiter auszugeben, Anmeldeinformationen zu sammeln und interne Dokumente zu sammeln. Sie extrahieren häufig Daten aus Passwortmanagern wie HashiCorp Vault und nutzen IT-Supportprozesse aus, um Administratorkennwörter zurückzusetzen.

Laterale Bewegung zu vSphere
Mithilfe von Active Directory-Anmeldeinformationen, die VMware-Umgebungen zugeordnet sind, greifen sie auf die vCenter Server Appliance (vCSA) zu. Ein Tool namens Teleport wird eingesetzt, um eine verschlüsselte Reverse Shell zu erstellen, die Firewall-Regeln umgeht und dauerhaften Zugriff ermöglicht.

Hypervisor-Manipulation und Datenextraktion
SSH wird auf ESXi-Hosts aktiviert, Root-Passwörter zurückgesetzt und ein Disk-Swap-Angriff ausgeführt. Dabei wird eine Domänencontroller-VM heruntergefahren, ihre virtuelle Festplatte getrennt, an eine vom Angreifer kontrollierte VM angeschlossen und die NTDS.dit-Datenbank extrahiert, bevor der Vorgang rückgängig gemacht wird.

Deaktivieren von Wiederherstellungsmechanismen
Sicherungsaufträge, Snapshots und Repositories werden gelöscht, um Wiederherstellungsoptionen auszuschließen und die Auswirkungen des Angriffs zu verstärken.

Ransomware-Bereitstellung
Benutzerdefinierte Ransomware-Binärdateien werden über SCP oder SFTP an die kompromittierten ESXi-Hosts gesendet und verschlüsseln kritische Systeme in der gesamten virtuellen Umgebung.

Die Geschwindigkeit und Heimlichkeit von Scattered Spider

Was Scattered Spider, auch bekannt unter Aliasnamen wie 0ktapus, Muddled Libra, Octo Tempest und UNC3944, von herkömmlichen Ransomware-Akteuren unterscheidet, ist die Geschwindigkeit und Heimlichkeit ihrer Operationen. Experten weisen darauf hin, dass der gesamte Angriff, vom ersten Zugriff bis zur Ransomware-Bereitstellung, innerhalb weniger Stunden erfolgen kann. In einigen Fällen wurden in weniger als 48 Stunden über 100 GB Daten exfiltriert. Die Gruppe wurde zudem mit dem Ransomware-Programm DragonForce in Verbindung gebracht, was ihre Fähigkeiten noch weiter verstärkt.

Veränderte Verteidigungsstrategien: Von EDR zu infrastrukturzentrierter Sicherheit

Aufgrund der Art dieser Angriffe reichen Standardtools zur Endpoint Detection and Response (EDR) möglicherweise nicht aus. Die Abwehr von Scattered Spider erfordert einen ganzheitlichen, infrastrukturzentrierten Ansatz. Die folgende mehrschichtige Verteidigungsstrategie wird dringend empfohlen:

Schicht 1: vSphere- und Hypervisor-Härtung

  • Aktivieren Sie den Sperrmodus auf vSphere
  • Erzwingen Sie „execInstalledOnly“
  • Verwenden Sie VM-Verschlüsselung
  • Entsorgen Sie nicht verwendete oder veraltete virtuelle Maschinen.
  • Schützen und schulen Sie den Helpdesk vor Identitätsbetrug.

Schicht 2: Identitäts- und Zugriffsschutz

  • Implementieren Sie eine Phishing-resistente Multi-Faktor-Authentifizierung (MFA).
  • Trennen Sie kritische Identitätsinfrastruktur.
  • Vermeiden Sie zirkuläre Authentifizierungsabhängigkeiten, die Angreifer ausnutzen können.

Schicht 3: Überwachung und Backup-Isolation

  • Zentralisieren Sie die Protokollüberwachung von der wichtigsten Infrastruktur aus.
  • Isolieren Sie Backups vom Active Directory-Zugriff.
  • Stellen Sie sicher, dass auf die Sicherungen selbst für kompromittierte Administratorkonten kein Zugriff möglich ist.

Fazit: Eine neue Ära des Ransomware-Risikos

Ransomware, die das vSphere-Ökosystem, insbesondere ESXi-Hosts und vCenter Server, angreift, stellt aufgrund ihres Potenzials für schnelle und großflächige Störungen eine ernste Bedrohung dar. Die kalkulierte Natur der Scattered Spider-Operationen macht deutlich, dass Unternehmen ihre Verteidigungsstrategien überdenken müssen. Das Ignorieren dieser Risiken oder die Verzögerung der Umsetzung empfohlener Gegenmaßnahmen kann katastrophale Folgen haben, darunter schwere Ausfallzeiten, Datenverlust und finanzielle Schäden.

Im Trend

Am häufigsten gesehen

Wird geladen...