UNC3944 Ransomware-angreb er rettet mod USA. Infrastruktur via VMware Exploits

En økonomisk drevet cyberkriminalitetsgruppe kendt som UNC3944 har lanceret en koordineret og meget målrettet hackingkampagne, der ender med ransomware mod store amerikanske kriminalitetsgrupper.. industrier, ifølge en fælles rapport fra Googles Threat Intelligence Group (GTIG) og cybersikkerhedsfirmaet Mandiant.

Gruppen, som overlapper med aliaser som “0ktapus” og “Spredt edderkop,” har sat blikket på detailhandlen, flyselskab, og forsikringssektorer i en bølge af angreb, der omgår traditionelle sikkerhedsværktøjer og udnytter menneskelige fejl.

I disse angreb, UNC3944 har bevæbnet social engineering, personifikation, og insider-lignende rekognoscering for at bryde ind i virksomhedsnetværk, med specifikt fokus på virksomheder, der bruger VMwares virtualiseringsplatform, vSphere.

UNC3944 Ransomware-angreb er afhængige af en menneskecentreret håndbog

Kernen i gruppens strategi er en simpel, men effektiv taktik: telefonopkald. Efterforskere siger, at UNC3944-medarbejdere ringer uopfordret til IT-helpdesks, udgive sig for at være medarbejdere, hvis identiteter de har samlet fra tidligere databrud. Bevæbnet med overbevisende detaljer, de overtaler supportpersonalet til at nulstille loginoplysninger, giver dem indledende adgang til virksomhedens systemer.

Derfra, Angriberne bevæger sig ikke tilfældigt. De udfører omhyggelig intern overvågning, gennemgang af intern dokumentation, SharePoint-filer, og virksomhedswikier til at identificere administratorkonti og grupper med privilegeret adgang, især dem, der er knyttet til VMware-administration. I et andet opkald, de udgiver sig for at være disse værdifulde brugere for at opnå administrativ kontrol.

Denne proces omgår effektivt mange tekniske forsvarsmekanismer, udnytte menneskelig adfærd og svage autentificeringsprotokoller i stedet for at knække kode.

Fra helpdesk til hypervisor

Når du er inde, Gruppen drejer sig mod kronjuvelerne: den VMware-infrastruktur der driver en stor del af en virksomheds virtuelle servermiljø.

Brug af stjålne legitimationsoplysninger, de får adgang til Active Directory, bevæg dig derefter lateralt ind i vSphere, VMwares virtualiseringsplatform, der administrerer hele flåder af virtuelle maskiner (VM'er). De planter ikke ransomware i operativsystemer; i stedet, de går efter selve VMware hypervisor-laget, hvor de kan lukke ned eller kryptere hele miljøer med minimal detektion.

Deres metoder er særligt farlige, fordi de udnytter værktøjer og processer, som administratorer selv bruger – det, sikkerhedseksperter kalder en “leve af landet” tilgang. Ved at efterligne normal administrativ aktivitet, Angriberne omgår mange traditionelle sikkerhedssystemer som antivirus og software til endpoint-detektion, som ofte mangler indsigt i VMwares backend-systemer.

Hvorfor disse UNC3944 ransomware-angreb er så svære at få øje på

En del af det, der gør disse indtrængen vanskelig at opdage, er, hvordan VMware logger aktivitet. Systemet er afhængigt af flere lag af logføring – fra centraliserede vCenter-logfiler, der sporer administrative handlinger, til ESXi-værtslogfiler og revisionsfiler på lavere niveau.

Mandiants rapport opdeler dette:

• vCenter-logfiler tilbyde strukturerede arrangementer, som logins eller nedlukninger af VM'er. Disse er ideelle til alarmering og retsmedicinsk analyse, hvis de videresendes til et centraliseret system som en SIEM. (Sikkerhedsinformation og hændelsesstyring) platform.
• ESXi-logge, lagret lokalt, give detaljeret indsigt i, hvordan værten selv opfører sig – f.eks. problemer med ydeevnen, hardwarefejl, eller serviceaktivitet.
• ESXi-revisionslogge, som ikke er aktiveret som standard, give det mest præcise overblik over et potentielt brud: logføring hvem der loggede ind, hvad de gjorde, og om kommandoer (som at starte malware) lykkedes eller mislykkedes.

Mandiant anbefaler, at organisationer indsamler alle tre typer logfiler for at få et fuldt billede af, hvad der sker på tværs af deres virtuelle miljøer..

Anatomien af et UNC3944 ransomware-angreb

Ifølge rapporten, UNC3944s angreb følger typisk en fem-trins strategiplan:

1. Indledende kompromis – Få adgang via helpdesk-efterligning.
2. Intern Rekognoscering – Scan virksomhedens ressourcer for administratorkonti og adgangsoplysninger.
3. rettighedsforøgelse – Målret og efterlign privilegerede brugere, opnå adgang på højt niveau.
4. VMware-overtagelse – Brug Active Directory-adgang til at få adgang til vSphere-miljøet og kontrollere eller deaktivere virtuelle servere.
5. Afpresning eller løsepenge – Krypter systemer eller stjæl følsomme data for økonomisk gevinst.

Dette er ikke smash-and-grab-angreb. Hver bevægelse er bevidst, ofte foregår det over dage eller uger, med det formål at opnå fuld kontrol over en organisations IT-infrastruktur.

Hvad står på spil

UNC3944's metoder har allerede tvunget adskillige virksomheder til at lukke virtuelle operationer ned., forårsager forstyrrelser i detailhandelen, flyselskabernes planlægning, og forsikringsbehandling.

Brugen af vSphere som et ransomware-leveringssystem er særligt bekymrende., forklarede en ledende Mandiant-analytiker. Mange virksomheder er stadig ikke klar over, at deres virtualiseringslag er en blind vinkel. Uden den rette logføring og synlighed, Angribere kan operere uopdaget, indtil det er for sent.

Afbødende foranstaltninger

Sikkerhedseksperter råder organisationer til at tage flere hastetiltag:

• Udeluk telefonbaseret nulstilling af adgangskoder for administratorkonti. Kræv personlig eller multifaktorgodkendelse for alle anmodninger om nulstilling med høje rettigheder.
• Aktivér og overvåg VMware-revisionslogfiler. Disse giver afgørende indsigt i præcis, hvad en trusselsaktør gjorde, da han var indenfor.
• Lås dokumentation og adgang til adgangskodeadministratorer. Trusselaktører søger i stigende grad i interne filer efter operationelle tegninger og administratorhemmeligheder.
• Overvåg ændringer i følsomme grupper. Enhver opdatering til administratorgrupper som f.eks. “vSphere-administratorer” eller "Domæneadministratorer" bør udløse advarsler og undersøges med det samme.

Afsluttende tanker

Social ingeniørkunst, kombineret med et dybtgående kendskab til virksomhedens IT-infrastruktur, giver grupper som UNC3944 hidtil uset adgang og kontrol. Mandiant advarer om, at lignende kampagner sandsynligvis vil fortsætte på tværs af brancher, der er stærkt afhængige af virtuel infrastruktur., og hvor helpdeske fortsat er et svagt led i sikkerhedskæden.