UNC3944-ransomwareaanvallen zijn gericht op de VS. Infrastructuur via VMware-exploits

Een financieel gedreven cybercrimegroep, bekend als UNC3944, is een gecoördineerde en zeer gerichte hackcampagne gestart die eindigt met ransomware tegen grote Amerikaanse. industrieën, volgens een gezamenlijk rapport van Google's Threat Intelligence Group (GTIG) en cybersecuritybedrijf Mandiant.

De groep, die overlapt met aliassen zoals “0ktapus” en “Verspreide spin,” heeft zijn zinnen gezet op de detailhandel, vliegmaatschappij, en verzekeringssectoren in een golf van aanvallen die traditionele beveiligingstools omzeilen en menselijke fouten uitbuiten.

In deze aanvallen, UNC3944 is bewapend social engineering, nabootsing, en insider-achtige verkenning om bedrijfsnetwerken te doorbreken, specifiek gericht op bedrijven die het virtualisatieplatform van VMware gebruiken, vSphere.

UNC3944 Ransomware-aanvallen zijn gebaseerd op een mensgericht handboek

De kern van de strategie van de groep is een eenvoudige maar krachtige tactiek: telefoongesprekken. Onderzoekers zeggen dat UNC3944-medewerkers IT-helpdesks koud bellen, zich voordoen als werknemers waarvan ze de identiteit hebben achterhaald uit eerdere datalekken. Gewapend met overtuigende details, Ze overtuigen ondersteunend personeel om de inloggegevens opnieuw in te stellen, hen de eerste toegang tot bedrijfssystemen te geven.

Vanaf daar, de aanvallers bewegen niet willekeurig. Zij voeren een zorgvuldig intern toezicht uit, het doornemen van interne documentatie, SharePoint-bestanden, en bedrijfswiki's om beheerdersaccounts en groepen met bevoorrechte toegang te identificeren, vooral die gekoppeld aan VMware-beheer. In een tweede oproep, ze imiteren deze gebruikers met een hoge waarde om administratieve controle te verkrijgen.

Dit proces omzeilt effectief veel technische verdedigingen, gebruikmaken van menselijk gedrag en zwakke authenticatieprotocollen in plaats van het kraken van code.

Van helpdesk naar hypervisor

Eenmaal binnen, de groep richt zich op de kroonjuwelen: de VMware-infrastructuur die een groot deel van de virtuele serveromgeving van een bedrijf aanstuurt.

Gebruik van gestolen inloggegevens, ze krijgen toegang tot Active Directory, ga dan lateraal naar vSphere, Het virtualisatieplatform van VMware dat hele vloot virtuele machines beheert (VM). Ze planten geen ransomware in besturingssystemen; plaats, ze richten zich op de VMware hypervisorlaag zelf, waar ze hele omgevingen kunnen afsluiten of versleutelen met minimale detectie.

Hun methoden zijn vooral gevaarlijk omdat ze gebruikmaken van hulpmiddelen en processen die beheerders zelf gebruiken – wat beveiligingsexperts een “leven-van-het-land” nadering. Door normale administratieve activiteiten na te bootsen, de aanvallers omzeilen veel traditionele beveiligingssystemen zoals antivirus- en endpointdetectiesoftware, die vaak geen inzicht hebben in de back-endsystemen van VMware.

Waarom deze UNC3944-ransomwareaanvallen zo moeilijk te herkennen zijn

Een deel van wat het detecteren van deze indringers zo moeilijk maakt, is de manier waarop VMware de activiteiten registreert. Het systeem is afhankelijk van meerdere lagen van logging, van gecentraliseerde vCenter-logboeken die administratieve acties bijhouden, naar ESXi-hostlogboeken en auditbestanden op lager niveau.

Het rapport van Mandiant zet dit uiteen:

• vCenter-logboeken gestructureerde evenementen aanbieden, zoals inloggen of VM-afsluitingen. Deze zijn ideaal voor waarschuwingen en forensische analyses als ze worden doorgestuurd naar een gecentraliseerd systeem zoals een SIEM (Beveiligingsinformatie en gebeurtenisbeheer) platform.
• ESXi-logboeken, lokaal opgeslagen, gedetailleerde inzichten bieden in hoe de host zelf zich gedraagt, zoals prestatieproblemen, hardwarestoringen, of serviceactiviteit.
• ESXi-auditlogboeken, die standaard niet zijn ingeschakeld, bieden het meest nauwkeurige beeld van een mogelijke inbreuk: loggen wie is ingelogd, wat ze deden, en of opdrachten (zoals het lanceren van malware) geslaagd of mislukt.

Mandiant adviseert organisaties om alle drie de typen logs te verzamelen om een volledig beeld te krijgen van wat er in hun virtuele omgevingen gebeurt..

Anatomie van een UNC3944-ransomwareaanval

Volgens het verslag, De aanvallen van UNC3944 volgen doorgaans een vijfstappenplan:

1. Initieel compromis – Toegang verkrijgen via helpdeskimitatie.
2. interne Reconnaissance – Scan bedrijfsbronnen op beheerdersaccounts en toegangsreferenties.
3. Privilege escalatie – Target en imiteer bevoorrechte gebruikers, het verkrijgen van toegang op hoog niveau.
4. Overname door VMware – Gebruik Active Directory-toegang om de vSphere-omgeving te bereiken en virtuele servers te beheren of uit te schakelen.
5. Afpersing of losgeld – Systemen versleutelen of gevoelige gegevens stelen voor financieel gewin.

Dit zijn geen aanvallen waarbij je zomaar iets kunt vernielen. Elke beweging is doelbewust, vaak dagen of weken durend, met als doel volledige controle te krijgen over de IT-infrastructuur van een organisatie.

Wat staat er op het spel?

De methoden van UNC3944 hebben al verschillende bedrijven gedwongen hun virtuele activiteiten stop te zetten, het veroorzaken van verstoringen bij detailhandelstransacties, luchtvaartmaatschappij planning, en verzekeringsverwerking.

Het gebruik van vSphere als afleversysteem voor ransomware is bijzonder zorgwekkend, legde een senior Mandiant-analist uit. Veel bedrijven beseffen nog steeds niet dat hun virtualisatielaag een blinde vlek is. Zonder de juiste logging en zichtbaarheid, aanvallers kunnen onopgemerkt opereren tot het te laat is.

Verzachtende maatregelen

Veiligheidsexperts adviseren organisaties om een aantal dringende stappen te ondernemen:

• Verbied wachtwoordherstel via de telefoon voor beheerdersaccounts. Vereist persoonlijke of multifactorauthenticatie voor alle resetverzoeken met hoge privileges.
• VMware-auditlogboeken inschakelen en bewaken. Deze bieden cruciale inzichten in wat een dreigingsactor precies deed toen hij eenmaal binnen was..
• Vergrendel documentatie en toegang tot wachtwoordbeheerders. Dreigingsactoren zoeken steeds vaker in interne bestanden naar operationele blauwdrukken en administratieve geheimen.
• Houd toezicht op gevoelige groepsveranderingen. Elke update voor beheerdersgroepen zoals “vSphere-beheerders” of “Domeinbeheerders” moeten waarschuwingen activeren en onmiddellijk worden onderzocht.

Laatste gedachten

Social engineering, gecombineerd met een diepgaande kennis van de IT-infrastructuur van ondernemingen, geeft groepen zoals UNC3944 ongekende toegang en controle. Mandiant waarschuwt dat soortgelijke campagnes waarschijnlijk zullen worden voortgezet in sectoren die sterk afhankelijk zijn van virtuele infrastructuur, en waar helpdesks een zwakke schakel in de veiligheidsketen blijven.