Zuhause > Cyber ​​Aktuelles > UNC3944 Ransomware Attacks Target U.S. Infrastruktur über VMware Exploits
CYBER NEWS

UNC3944-Ransomware-Angriffe zielen auf die USA. Infrastruktur über VMware Exploits

durch   |  Letztes Update:  |  0 Kommentare  

Eine finanziell motivierte Cybercrime-Gruppe namens UNC3944 hat eine koordinierte und hochgradig zielgerichtete Hacker-Kampagne gestartet, die mit Ransomware gegen große US-Unternehmen endet.. Branchen, laut einem gemeinsamen Bericht der Threat Intelligence Group von Google (GTIG) und das Cybersicherheitsunternehmen Mandiant.

Die Gruppe, was sich mit Aliasnamen wie überschneidet “0ktapus” und “Verstreute Spinne,” hat den Einzelhandel im Visier, Fluggesellschaft, und Versicherungssektor in einer Welle von Angriffen, die traditionelle Sicherheitstools umgehen und menschliches Versagen ausnutzen.

Bei diesen Angriffen, UNC3944 hat bewaffnet Social-Engineering, Identitätswechsel, und Insider-ähnliche Aufklärung, um in Unternehmensnetzwerke einzudringen, Der Schwerpunkt liegt dabei auf Unternehmen, die die Virtualisierungsplattform von VMware nutzen., vSphere.

UNC3944-Ransomware-Angriffe zielen auf die USA. Infrastruktur über VMware Exploits

UNC3944 Ransomware-Angriffe basieren auf einem menschenzentrierten Playbook

Im Mittelpunkt der Strategie der Gruppe steht eine einfache, aber wirksame Taktik: Anrufe. Ermittler berichten, dass UNC3944-Agenten unaufgefordert IT-Helpdesks anrufen, sich als Mitarbeiter ausgeben, deren Identitäten sie aus früheren Datenschutzverletzungen rekonstruiert haben. Ausgestattet mit überzeugenden Details, Sie überzeugen Support-Mitarbeiter, die Anmeldeinformationen zurückzusetzen, ihnen den ersten Zugriff auf die Systeme des Unternehmens zu ermöglichen.

Von dort, Die Angreifer bewegen sich nicht zufällig. Sie führen eine sorgfältige interne Überwachung durch, Durchforsten der internen Dokumentation, SharePoint-Dateien, und Unternehmenswikis zur Identifizierung von Administratorkonten und privilegierten Zugriffsgruppen, insbesondere solche, die mit der VMware-Verwaltung verbunden sind. In einem zweiten Anruf, Sie geben sich als diese hochrangigen Benutzer aus, um die administrative Kontrolle zu erlangen.

Dieser Prozess umgeht effektiv viele technische Abwehrmaßnahmen, menschliches Verhalten und schwache Authentifizierungsprotokolle ausnutzen, anstatt Code zu knacken.

Vom Helpdesk zum Hypervisor

Einmal im Inneren, Die Gruppe wendet sich den Kronjuwelen zu: die VMware-Infrastruktur das einen Großteil der virtuellen Serverumgebung eines Unternehmens betreibt.

Verwendung gestohlener Anmeldeinformationen, Sie erhalten Zugriff auf Active Directory, dann seitlich in vSphere wechseln, Die Virtualisierungsplattform von VMware, die ganze Flotten virtueller Maschinen verwaltet (VMs). Sie platzieren keine Ransomware in Betriebssystemen; stattdessen, Sie zielen auf die VMware-Hypervisor-Schicht selbst ab, wo sie ganze Umgebungen mit minimaler Erkennung herunterfahren oder verschlüsseln können.

Ihre Methoden sind besonders gefährlich, weil sie Tools und Prozesse ausnutzen, die Administratoren selbst verwenden – was Sicherheitsexperten als “Leben vom Land” Ansatz. Durch die Nachahmung normaler Verwaltungstätigkeiten, Die Angreifer umgehen viele traditionelle Sicherheitssysteme wie Antivirus- und Endpoint-Detection-Software, denen oft die Transparenz in den Back-End-Systemen von VMware fehlt.

Warum diese UNC3944-Ransomware-Angriffe so schwer zu erkennen sind

Ein Grund dafür, dass diese Angriffe schwer zu erkennen sind, ist die Art und Weise, wie VMware Aktivitäten protokolliert.. Das System basiert auf mehreren Protokollierungsebenen – von zentralisierten vCenter-Protokollen, die administrative Aktionen verfolgen, zu ESXi-Host-Protokollen und Audit-Dateien auf niedrigerer Ebene.

Der Bericht von Mandiant schlüsselt dies auf:

  • vCenter-Protokolle bieten strukturierte Veranstaltungen an, wie Anmeldungen oder VM-Herunterfahren. Diese eignen sich ideal für Alarmierung und forensische Analysen, wenn sie an ein zentrales System wie ein SIEM weitergeleitet werden. (Sicherheitsinformations- und Ereignismanagement) Plattform.
  • ESXi-Protokolle, lokal gespeichert, bieten detaillierte Einblicke in das Verhalten des Hosts selbst – beispielsweise bei Leistungsproblemen, Hardwarefehler, oder Servicetätigkeit.
  • ESXi-Überwachungsprotokolle, die standardmäßig nicht aktiviert sind, bieten den präzisesten Überblick über einen potenziellen Verstoß: Protokollierung der angemeldeten Personen, was sie getan haben, und ob Befehle (wie das Starten von Malware) erfolgreich oder fehlgeschlagen.

Mandiant empfiehlt Unternehmen, alle drei Protokolltypen zu erfassen, um ein vollständiges Bild der Vorgänge in ihren virtuellen Umgebungen zu erhalten..

Anatomie eines UNC3944-Ransomware-Angriffs

Nach der Bericht, Die Angriffe von UNC3944 folgen typischerweise einem fünfstufigen Schema:

  1. Erster Kompromiss – Erhalten Sie Zugriff durch Helpdesk-Identitätswechsel.
  2. interne Reconnaissance – Durchsuchen Sie Unternehmensressourcen nach Administratorkonten und Zugriffsberechtigungen.
  3. Privilege Escalation – Zielen Sie auf privilegierte Benutzer und imitieren Sie deren Identität, Zugang auf hoher Ebene erhalten.
  4. VMware-Übernahme – Verwenden Sie den Active Directory-Zugriff, um auf die vSphere-Umgebung zuzugreifen und virtuelle Server zu steuern oder zu deaktivieren.
  5. Erpressung oder Lösegeld – Verschlüsseln Sie Systeme oder stehlen Sie vertrauliche Daten, um sich finanziell zu bereichern.

Dies sind keine Blitzangriffe. Jede Bewegung ist bewusst, oft über Tage oder Wochen hinweg, mit dem Ziel, die vollständige Kontrolle über die IT-Infrastruktur einer Organisation zu erlangen.

Was steht auf dem Spiel

Die Methoden von UNC3944 haben bereits mehrere Unternehmen gezwungen, virtuelle Operationen einzustellen, verursacht Störungen bei Einzelhandelstransaktionen, Flugplanung, und Versicherungsabwicklung.

Besonders besorgniserregend ist die Verwendung von vSphere als Ransomware-Auslieferungssystem, erklärte ein leitender Analyst von Mandiant. Viele Unternehmen erkennen immer noch nicht, dass ihre Virtualisierungsschicht ein blinder Fleck ist. Ohne die richtige Protokollierung und Sichtbarkeit, Angreifer können unentdeckt agieren, bis es zu spät ist.

Linderungsmaßnahmen

Sicherheitsexperten raten Organisationen, mehrere dringende Schritte zu unternehmen:

  • Verbot der telefonischen Passwortzurücksetzung für Administratorkonten. Fordern Sie für alle Reset-Anfragen mit hohen Berechtigungen eine persönliche oder mehrstufige Authentifizierung an..
  • Aktivieren und Überwachen von VMware-Auditprotokollen. Diese liefern wichtige Erkenntnisse darüber, was ein Bedrohungsakteur genau getan hat, nachdem er in das System eingedrungen war..
  • Sperren Sie die Dokumentation und den Zugriff auf Passwortmanager. Bedrohungsakteure durchsuchen zunehmend interne Dateien nach Betriebsplänen und Administratorgeheimnissen.
  • Überwachen Sie sensible Gruppenänderungen. Alle Updates für Administratorgruppen wie “vSphere-Administratoren” oder „Domänenadministratoren“ sollten Alarme auslösen und sofort untersucht werden.

Abschließende Gedanken

Soziale Entwicklung, kombiniert mit fundierten Kenntnissen der IT-Infrastruktur von Unternehmen, gibt Gruppen wie UNC3944 beispiellosen Zugriff und Kontrolle. Mandiant warnt davor, dass ähnliche Kampagnen wahrscheinlich in Branchen fortgesetzt werden, die stark auf virtuelle Infrastruktur angewiesen sind, und wo Helpdesks ein schwaches Glied in der Sicherheitskette bleiben.

Milena Dimitrova

Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim

Mehr Beiträge

Folge mir:
Zwitschern

Zusammenhängende Posts:
  1. CVE-2021-21985: Kritischer Fehler in VMware vCenter erfordert sofortiges Patchen CVE-2021-21985 is a critical vulnerability in VMware vCenter that needs...
  2. VMware behebt acht schwerwiegende Sicherheitsprobleme (CVE-2022-22954) VMware hat insgesamt acht Sicherheitslücken in ...
  3. CVE-2022-31656: Kritische Schwachstelle bei der Umgehung der VMware-Authentifizierung VMware hat kürzlich eine weitere Reihe von Patches veröffentlicht, die sich mit einer Reihe von Problemen befassen..
  4. CVE-2021-22005: VMware vCenter-Fehler könnte von Ransomware ausgenutzt werden Ein neuer schwerer, willkürlicher Datei-Upload VMware vCenter Server-Schwachstelle,...
  5. CVE-2021-22048: Patch für VMware Server Flaw verfügbar CVE-2021-22048 is a high-severity privilege escalation vulnerability in the VMware...
  6. CVE-2022-22966: Kritische Schwachstelle in VMware Cloud Director Another critical VMware vulnerability which could put cloud infrastructures at...
  7. RansomExx Gang nutzt VMWare-Fehler CVE-2019-5544 aus, CVE-2020-3992 Es ist bekannt, dass Ransomware-Betreiber verschiedene Sicherheitslücken ausnutzen, especially in...
  8. CVE-2023-34048: Schwerwiegende Sicherheitslücke im VMware vCenter Server Um die Virtualisierungsinfrastruktur zu stärken, VMware has...

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Cookies, um die Benutzererfahrung zu verbessern. Durch die Nutzung unserer Website erklären Sie sich mit allen Cookies gemäß unserer Datenschutz-Bestimmungen.
Genau