Ataques de ransomware UNC3944 se dirigen a EE. UU.. Infraestructura a través de exploits de VMware

Un grupo de ciberdelincuentes con fines financieros conocido como UNC3944 ha lanzado una campaña de piratería informática coordinada y altamente dirigida que termina con ransomware contra importantes empresas estadounidenses.. industrias, según un informe conjunto del Grupo de Inteligencia de Amenazas de Google (GTI-G) y la empresa de ciberseguridad Mandiant.

El grupo, que se superpone con alias como “0ktapus” y “Araña dispersa,” Ha puesto sus miras en el comercio minorista, aerolínea, y los sectores de seguros en una ola de ataques que pasan por alto las herramientas de seguridad tradicionales y explotan el error humano.

En estos ataques, UNC3944 se ha convertido en arma la ingeniería social, interpretación, y reconocimiento interno para violar las redes empresariales, Centrándose específicamente en empresas que utilizan la plataforma de virtualización de VMware, vSphere.

Los ataques de ransomware UNC3944 se basan en un manual centrado en el ser humano

En el corazón de la estrategia del grupo hay una táctica simple pero potente: llamadas telefónicas. Los investigadores dicen que los agentes de UNC3944 llaman en frío a los servicios de asistencia informática, hacerse pasar por empleados cuyas identidades han reconstruido a partir de violaciones de datos anteriores. Armado con detalles convincentes, Convencen al personal de soporte para que restablezca las credenciales de inicio de sesión, dándoles acceso inicial a los sistemas de la empresa.

Desde allí, Los atacantes no se mueven aleatoriamente. Realizan una cuidadosa vigilancia interna, Revisando la documentación interna, Archivos de SharePoint, y wikis corporativas para identificar cuentas de administrador y grupos de acceso privilegiado, especialmente aquellos vinculados a la gestión de VMware. En una segunda llamada, Se hacen pasar por estos usuarios de alto valor para obtener control administrativo.

Este proceso elude eficazmente muchas defensas técnicas., Aprovechar el comportamiento humano y los protocolos de autenticación débiles en lugar de romper el código.

Del Help Desk al Hipervisor

Una vez dentro, El grupo gira hacia las joyas de la corona.: la Infraestructura de VMware que alimenta gran parte del entorno de servidor virtual de una empresa.

Uso de credenciales robadas, obtienen acceso al Directorio Activo, Luego muévete lateralmente hacia vSphere, La plataforma de virtualización de VMware que administra flotas enteras de máquinas virtuales (VM). No están plantando ransomware en los sistemas operativos; lugar, Están apuntando a la propia capa de hipervisor de VMware., donde pueden apagar o cifrar entornos enteros con una detección mínima.

Sus métodos son especialmente peligrosos porque explotan herramientas y procesos que los propios administradores utilizan, lo que los expertos en seguridad llaman un “vivir de la tierra” enfoque. Imitando la actividad administrativa normal, Los atacantes evaden muchos sistemas de seguridad tradicionales como antivirus y software de detección de puntos finales., que a menudo carecen de visibilidad en los sistemas back-end de VMware.

Por qué son tan difíciles de detectar estos ataques de ransomware UNC3944

Parte de lo que hace que estas intrusiones sean difíciles de detectar es cómo VMware registra la actividad.. El sistema se basa en múltiples capas de registro, desde registros centralizados de vCenter que rastrean acciones administrativas, a registros de host ESXi de nivel inferior y archivos de auditoría.

El informe de Mandiant lo desglosa.:

• Registros de vCenter ofrecer eventos estructurados, como inicios de sesión o apagados de máquinas virtuales. Son ideales para alertas y análisis forenses si se envían a un sistema centralizado como un SIEM. (Gestión de eventos e información de seguridad) plataforma.
• Registros de ESXi, almacenado localmente, Proporcionar información detallada sobre cómo se comporta el host en sí, como problemas de rendimiento., fallos de hardware, o actividad de servicio.
• Registros de auditoría de ESXi, que no están habilitadas por defecto, Ofrecer la visión más precisa de una posible infracción: Registrar quién inició sesión, lo que hicieron, y si los comandos (como lanzar malware) tuvo éxito o fracasó.

Mandiant recomienda que las organizaciones recopilen los tres tipos de registros para obtener una imagen completa de lo que sucede en sus entornos virtuales..

Anatomía de un ataque de ransomware UNC3944

De acuerdo a el informe, Los ataques de UNC3944 suelen seguir un esquema de cinco pasos:

1. Compromiso inicial – Obtenga acceso a través de la suplantación de la mesa de ayuda.
2. Reconocimiento interno – Escanee los recursos de la empresa en busca de cuentas de administrador y credenciales de acceso.
3. escalada de privilegios – Apuntar y suplantar a usuarios privilegiados, obtener acceso de alto nivel.
4. Adquisición de VMware – Utilice el acceso a Active Directory para llegar al entorno de vSphere y controlar o deshabilitar servidores virtuales.
5. Extorsión o rescate – Cifrar sistemas o robar datos confidenciales para obtener ganancias financieras.

Estos no son ataques de asalto. Cada movimiento es deliberado, A menudo ocurren durante días o semanas., con el objetivo de obtener control total sobre la infraestructura de TI de una organización.

¿Qué está en juego?

Los métodos de la UNC3944 ya han obligado a varias empresas a cerrar operaciones virtuales, provocando interrupciones en las transacciones minoristas, programación de aerolíneas, y tramitación de seguros.

El uso de vSphere como sistema de distribución de ransomware es especialmente preocupante, explicó un analista senior de Mandiant. Muchas empresas aún no se dan cuenta de que su capa de virtualización es un punto ciego. Sin el registro y la visibilidad adecuados, Los atacantes pueden operar sin ser detectados hasta que sea demasiado tarde..

Medidas de atenuación

Los expertos en seguridad aconsejan a las organizaciones que tomen varias medidas urgentes:

• Prohibir el restablecimiento de contraseñas desde el teléfono para cuentas de administrador. Exigir autenticación en persona o multifactor para cualquier solicitud de restablecimiento de privilegios altos.
• Habilitar y supervisar los registros de auditoría de VMware. Estos proporcionan información crucial sobre qué hizo exactamente un agente de amenazas una vez dentro..
• Bloquear la documentación y el acceso a los administradores de contraseñas. Los actores de amenazas buscan cada vez más archivos internos en busca de planos operativos y secretos administrativos..
• Monitorear cambios sensibles en el grupo. ¿Alguna actualización para los grupos de administradores como? “Administradores de vSphere” o “Administradores de dominio” deben activar alertas y ser investigados de inmediato.

Pensamientos finales

Ingeniería social, Combinado con un profundo conocimiento de la infraestructura de TI empresarial, Está dando a grupos como UNC3944 acceso y control sin precedentes. Mandiant advierte que es probable que continúen campañas similares en industrias que dependen en gran medida de la infraestructura virtual., y donde los servicios de asistencia siguen siendo un eslabón débil en la cadena de seguridad.