Accueil > Nouvelles Cyber > UNC3944 Ransomware Attacks Target U.S. Infrastructure via VMware Exploits
CYBER NOUVELLES

Les attaques de ransomware UNC3944 ciblent les États-Unis. Infrastructure via VMware Exploits

par   |  Dernière mise à jour:  |  0 Commentaires  

Un groupe de cybercriminalité à motivation financière connu sous le nom d'UNC3944 a lancé une campagne de piratage coordonnée et très ciblée qui se termine par un rançongiciel contre d'importantes entreprises américaines.. industries, selon un rapport conjoint du Threat Intelligence Group de Google (GTIG) et la société de cybersécurité Mandiant.

Le groupe, qui chevauche des alias comme “0ktapus” et “Araignée dispersée,” a jeté son dévolu sur le commerce de détail, Compagnie aérienne, et les secteurs des assurances dans une vague d'attaques qui contournent les outils de sécurité traditionnels et exploitent l'erreur humaine.

Dans ces attaques, UNC3944 a été militarisé l'ingénierie sociale, imitation, et une reconnaissance de type interne pour pénétrer les réseaux d'entreprise, se concentrant spécifiquement sur les entreprises utilisant la plate-forme de virtualisation de VMware, vSphere.

Les attaques de ransomware UNC3944 ciblent les États-Unis. Infrastructure via VMware Exploits

Les attaques de rançongiciel UNC3944 reposent sur un manuel centré sur l'humain

Au cœur de la stratégie du groupe se trouve une tactique simple mais puissante: Appels téléphoniques. Les enquêteurs affirment que les agents de l'UNC3944 appellent à froid les services d'assistance informatique., se faire passer pour des employés dont ils ont reconstitué l'identité à partir de violations de données passées. Armé de détails convaincants, ils persuadent le personnel d'assistance de réinitialiser les identifiants de connexion, leur donner un accès initial aux systèmes de l'entreprise.

De là, les attaquants ne se déplacent pas au hasard. Ils effectuent une surveillance interne minutieuse, parcourir la documentation interne, Fichiers SharePoint, et des wikis d'entreprise pour identifier les comptes administrateurs et les groupes d'accès privilégiés, en particulier ceux liés à la gestion VMware. Lors d'un deuxième appel, ils se font passer pour ces utilisateurs de grande valeur pour obtenir le contrôle administratif.

Ce processus contourne efficacement de nombreuses défenses techniques, tirer parti du comportement humain et des protocoles d'authentification faibles plutôt que de casser le code.

Du Help Desk à l'Hyperviseur

Une fois à l'intérieur, le groupe pivote vers les joyaux de la couronne: la Infrastructure VMware qui alimente une grande partie de l'environnement de serveur virtuel d'une entreprise.

Utilisation d'identifiants volés, ils ont accès à Active Directory, puis se déplacer latéralement dans vSphere, La plate-forme de virtualisation de VMware qui gère des flottes entières de machines virtuelles (machines virtuelles). Ils n’installent pas de ransomware dans les systèmes d’exploitation; plutôt, ils ciblent la couche hyperviseur VMware elle-même, où ils peuvent fermer ou crypter des environnements entiers avec une détection minimale.

Leurs méthodes sont particulièrement dangereuses car elles exploitent des outils et des processus que les administrateurs eux-mêmes utilisent – ce que les experts en sécurité appellent un “vivre de la terre” approche. En imitant l’activité administrative normale, les attaquants échappent à de nombreux systèmes de sécurité traditionnels tels que les logiciels antivirus et de détection des terminaux, qui manquent souvent de visibilité sur les systèmes back-end de VMware.

Pourquoi ces attaques de ransomware UNC3944 sont-elles si difficiles à détecter ?

Ce qui rend ces intrusions difficiles à détecter est en partie la façon dont VMware enregistre l’activité.. Le système s'appuie sur plusieurs couches de journalisation, à partir des journaux vCenter centralisés qui suivent les actions administratives, vers les journaux et fichiers d'audit des hôtes ESXi de niveau inférieur.

Le rapport de Mandiant décompose cela:

  • Journaux vCenter proposer des événements structurés, comme les connexions ou les arrêts de machines virtuelles. Ils sont idéaux pour l'alerte et l'analyse médico-légale s'ils sont transmis à un système centralisé comme un SIEM (Gestion des informations et des événements de sécurité) Plate-forme.
  • Journaux ESXi, stocké localement, fournir des informations détaillées sur le comportement de l'hôte lui-même, comme les problèmes de performances, pannes matérielles, ou activité de service.
  • Journaux d'audit ESXi, qui ne sont pas activés par défaut, offrent la vision la plus précise d'une violation potentielle: journalisation des personnes connectées, ce qu'ils ont fait, et si les commandes (comme lancer un logiciel malveillant) réussi ou échoué.

Mandiant recommande aux organisations de collecter les trois types de journaux pour obtenir une image complète de ce qui se passe dans leurs environnements virtuels..

Anatomie d'une attaque de ransomware UNC3944

Selon le rapport, Les attaques de l'UNC3944 suivent généralement un manuel en cinq étapes:

  1. Compromis initial – Accéder via l'usurpation d'identité du service d'assistance.
  2. reconnaissance interne – Analyser les ressources de l'entreprise pour les comptes d'administrateur et les informations d'identification d'accès.
  3. Privilège Escalation – Cibler et usurper l'identité d'utilisateurs privilégiés, obtenir un accès de haut niveau.
  4. Prise de contrôle de VMware – Utilisez l'accès Active Directory pour accéder à l'environnement vSphere et contrôler ou désactiver les serveurs virtuels.
  5. Extorsion ou rançon – Crypter les systèmes ou voler des données sensibles à des fins financières.

Il ne s’agit pas d’attaques éclair.. Chaque mouvement est délibéré, se déroulant souvent sur plusieurs jours ou semaines, dans le but d'obtenir un contrôle total sur l'infrastructure informatique d'une organisation.

Ce qui est en jeu

Les méthodes de l'UNC3944 ont déjà forcé plusieurs entreprises à cesser leurs opérations virtuelles, provoquant des perturbations dans les transactions de détail, planification des vols aériens, et le traitement des assurances.

L’utilisation de vSphere comme système de diffusion de ransomwares est particulièrement inquiétante., a expliqué un analyste senior de Mandiant. De nombreuses entreprises ne réalisent toujours pas que leur couche de virtualisation est un angle mort. Sans la bonne journalisation et la bonne visibilité, les attaquants peuvent opérer sans être détectés jusqu'à ce qu'il soit trop tard.

Mesures d'atténuation

Les experts en sécurité conseillent aux organisations de prendre plusieurs mesures urgentes:

  • Interdire la réinitialisation des mots de passe par téléphone pour les comptes administrateurs. Exiger une authentification en personne ou à plusieurs facteurs pour toute demande de réinitialisation à privilèges élevés.
  • Activer et surveiller les journaux d'audit VMware. Ces informations fournissent des informations cruciales sur ce qu'un acteur malveillant a fait une fois à l'intérieur..
  • Verrouiller la documentation et l'accès aux gestionnaires de mots de passe. Les acteurs de la menace recherchent de plus en plus dans les fichiers internes des plans opérationnels et des secrets d'administration..
  • Surveiller les changements de groupe sensibles. Toute mise à jour des groupes d'administrateurs comme “Administrateurs vSphere” ou les « administrateurs de domaine » devraient déclencher des alertes et faire l’objet d’une enquête immédiate.

Dernières pensées

Ingénierie sociale, combiné à une connaissance approfondie de l'infrastructure informatique de l'entreprise, donne à des groupes comme UNC3944 un accès et un contrôle sans précédent. Mandiant prévient que des campagnes similaires sont susceptibles de se poursuivre dans les secteurs qui dépendent fortement de l'infrastructure virtuelle, et où les services d'assistance restent un maillon faible de la chaîne de sécurité.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. CVE-2021-21985: Une faille critique dans VMware vCenter nécessite un correctif immédiat CVE-2021-21985 est une vulnérabilité critique dans VMware vCenter qui nécessite...
  2. VMware résout huit problèmes de sécurité graves (CVE-2022-22954) VMware a corrigé un total de huit vulnérabilités de sécurité dans....
  3. CVE-2022-31656: Vulnérabilité critique de contournement de l'authentification VMware VMware a récemment publié un autre ensemble de correctifs traitant d'un certain nombre de problèmes..
  4. CVE-2021-22005: VMware vCenter Flaw pourrait être exploité par un ransomware Une nouvelle sévère, téléchargement de fichier arbitraire vulnérabilité VMware vCenter Server,...
  5. CVE-2021-22048: Correctif disponible pour la faille du serveur VMware CVE-2021-22048 is a high-severity privilege escalation vulnerability in the VMware...
  6. CVE-2022-22966: Vulnérabilité critique de VMware Cloud Director Une autre vulnérabilité critique de VMware qui pourrait mettre les infrastructures cloud en danger..
  7. RansomExx Gang exploite les bogues VMWare CVE-2019-5544, CVE-2020-3992 Les opérateurs de ransomware sont connus pour exploiter diverses vulnérabilités, especially in...
  8. CVE-2023-34048: Vulnérabilité grave dans VMware vCenter Server Dans le but de renforcer son infrastructure de virtualisation, VMware has...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord