Un gruppo di criminali informatici guidato da interessi finanziari noto come UNC3944 ha lanciato una campagna di hacking coordinata e altamente mirata che si conclude con un ransomware contro le principali società statunitensi.. industrie, secondo un rapporto congiunto del Threat Intelligence Group di Google (Buono) e la società di sicurezza informatica Mandiant.
Il gruppo, che si sovrappone ad alias come “0ktapus” e “Ragno sparso,” ha puntato gli occhi sul commercio al dettaglio, linea aerea, e il settore assicurativo in un'ondata di attacchi che aggirano gli strumenti di sicurezza tradizionali e sfruttano l'errore umano.
In questi attacchi, UNC3944 ha militarizzato ingegneria sociale, imitazione, e ricognizione di tipo interno per violare le reti aziendali, concentrandosi in particolare sulle aziende che utilizzano la piattaforma di virtualizzazione VMware, vSphere.
Gli attacchi ransomware UNC3944 si basano su un playbook incentrato sull'uomo
Al centro della strategia del gruppo c'è una tattica semplice ma potente: chiamate telefoniche. Gli investigatori affermano che gli agenti dell'UNC3944 hanno contattato a freddo gli help desk IT, impersonare dipendenti le cui identità sono state ricostruite da precedenti violazioni dei dati. Armato di dettagli convincenti, convincono il personale di supporto a reimpostare le credenziali di accesso, dando loro l'accesso iniziale ai sistemi aziendali.
Da lì, gli aggressori non si muovono in modo casuale. Eseguono un'attenta sorveglianza interna, esaminando attentamente la documentazione interna, File di SharePoint, e wiki aziendali per identificare gli account degli amministratori e i gruppi di accesso privilegiati, in particolare quelli legati alla gestione VMware. In una seconda chiamata, si spacciano per utenti di alto valore per ottenere il controllo amministrativo.
Questo processo elude efficacemente molte difese tecniche, sfruttando il comportamento umano e protocolli di autenticazione deboli piuttosto che rompere il codice.
Dall'Help Desk all'Hypervisor
Una volta dentro, il gruppo si orienta verso i gioielli della corona: il Infrastruttura VMware che alimenta gran parte dell'ambiente del server virtuale di un'azienda.
Utilizzo di credenziali rubate, ottengono l'accesso ad Active Directory, quindi spostati lateralmente in vSphere, La piattaforma di virtualizzazione VMware che gestisce intere flotte di macchine virtuali (VM). Non stanno installando ransomware nei sistemi operativi; invece, stanno prendendo di mira lo stesso livello dell'hypervisor VMware, dove possono arrestare o crittografare interi ambienti con un rilevamento minimo.
I loro metodi sono particolarmente pericolosi perché sfruttano strumenti e processi che gli amministratori stessi utilizzano, ovvero ciò che gli esperti di sicurezza chiamano “vivere della terra” approccio. Imitando la normale attività amministrativa, gli aggressori eludono molti sistemi di sicurezza tradizionali come antivirus e software di rilevamento degli endpoint, che spesso non hanno visibilità sui sistemi back-end di VMware.
Perché questi attacchi ransomware UNC3944 sono così difficili da individuare
Parte di ciò che rende queste intrusioni difficili da rilevare è il modo in cui VMware registra l'attività. Il sistema si basa su più livelli di registrazione, dai registri vCenter centralizzati che tengono traccia delle azioni amministrative, ai log host ESXi di livello inferiore e ai file di audit.
Il rapporto di Mandiant lo spiega in dettaglio:
- Registri vCenter offrire eventi strutturati, come accessi o arresti di VM. Sono ideali per l'avviso e l'analisi forense se vengono inoltrati a un sistema centralizzato come un SIEM (Gestione delle informazioni di sicurezza e degli eventi) piattaforma.
- Registri ESXi, memorizzati localmente, fornire informazioni dettagliate sul comportamento dell'host stesso, ad esempio problemi di prestazioni, guasti hardware, o attività di servizio.
- Registri di controllo ESXi, che non sono abilitati di default, offrire la visione più precisa di una potenziale violazione: registrazione di chi ha effettuato l'accesso, cosa hanno fatto, e se i comandi (come lanciare malware) riuscito o fallito.
Mandiant consiglia alle organizzazioni di raccogliere tutti e tre i tipi di log per ottenere un quadro completo di ciò che accade nei loro ambienti virtuali.
Anatomia di un attacco ransomware UNC3944
Secondo il rapporto, Gli attacchi UNC3944 seguono in genere un piano di azione in cinque fasi:
- Compromesso iniziale – Ottieni l'accesso tramite l'impersonificazione dell'help desk.
- Ricognizione interna – Scansiona le risorse aziendali per trovare account amministrativi e credenziali di accesso.
- Aumento dei privilegi – Prendere di mira e impersonare utenti privilegiati, ottenere un accesso di alto livello.
- Acquisizione di VMware – Utilizzare l'accesso ad Active Directory per raggiungere l'ambiente vSphere e controllare o disabilitare i server virtuali.
- Estorsione o riscatto – Crittografare i sistemi o rubare dati sensibili per ottenere un guadagno finanziario.
Questi non sono attacchi di tipo "smash-and-grab". Ogni mossa è deliberata, spesso si svolgono nell'arco di giorni o settimane, con l'obiettivo di ottenere il controllo totale sull'infrastruttura IT di un'organizzazione.
Cosa c'è in gioco
I metodi di UNC3944 hanno già costretto diverse aziende a chiudere le operazioni virtuali, causando interruzioni nelle transazioni al dettaglio, programmazione aerea, e l'elaborazione delle assicurazioni.
L’utilizzo di vSphere come sistema di distribuzione di ransomware è particolarmente preoccupante, ha spiegato un analista senior di Mandiant. Molte aziende non si rendono ancora conto che il loro livello di virtualizzazione è un punto cieco. Senza la giusta registrazione e visibilità, gli aggressori possono operare inosservati fino a quando non è troppo tardi.
Misure di mitigazione
Gli esperti di sicurezza consigliano alle organizzazioni di adottare diverse misure urgenti:
- Vietare il ripristino delle password tramite telefono per gli account amministratore. Richiedi l'autenticazione di persona o multifattoriale per qualsiasi richiesta di ripristino ad alto privilegio.
- Abilitare e monitorare i registri di controllo VMware. Questi forniscono informazioni cruciali su cosa ha fatto esattamente un attore della minaccia una volta entrato.
- Blocca la documentazione e l'accesso ai gestori delle password. Gli attori delle minacce cercano sempre più spesso nei file interni progetti operativi e segreti amministrativi.
- Monitorare i cambiamenti di gruppo sensibili. Eventuali aggiornamenti ai gruppi di amministrazione come “Amministratori vSphere” o gli “amministratori di dominio” dovrebbero attivare avvisi ed essere indagati immediatamente.
Pensieri finali
Ingegneria sociale, combinato con una profonda conoscenza dell'infrastruttura IT aziendale, sta dando a gruppi come UNC3944 un accesso e un controllo senza precedenti. Mandiant avverte che è probabile che campagne simili continuino in settori che fanno molto affidamento sulle infrastrutture virtuali, e dove gli help desk rimangono un anello debole nella catena della sicurezza.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: