Casa > cibernético Notícias > UNC3944 Ransomware Attacks Target U.S. Infraestrutura via VMware Exploits
CYBER NEWS

Ataques de ransomware UNC3944 têm como alvo os EUA. Infraestrutura via VMware Exploits

por   |  Última atualização:  |  0 Comentários  

Um grupo de crimes cibernéticos com fins financeiros conhecido como UNC3944 lançou uma campanha de hacking coordenada e altamente direcionada que termina com ransomware contra grandes empresas dos EUA. indústrias, de acordo com um relatório conjunto do Threat Intelligence Group do Google (GTIG) e a empresa de segurança cibernética Mandiant.

O grupo, que se sobrepõe a aliases como “0ktapus” e “Aranha dispersa,” tem como alvo o varejo, CIA aérea, e setores de seguros em uma onda de ataques que ignoram as ferramentas de segurança tradicionais e exploram erros humanos.

Nestes ataques, UNC3944 tornou-se uma arma Engenharia social, representação, e reconhecimento interno para violar redes empresariais, com foco específico em empresas que utilizam a plataforma de virtualização da VMware, vSphere.

Ataques de ransomware UNC3944 têm como alvo os EUA. Infraestrutura via VMware Exploits

Ataques de ransomware UNC3944 dependem de um manual centrado no ser humano

No centro da estratégia do grupo está uma tática simples, mas poderosa: telefonemas. Investigadores dizem que agentes da UNC3944 ligam sem avisar para centrais de atendimento de TI, personificando funcionários cujas identidades eles mesmos criaram a partir de violações de dados anteriores. Armado com detalhes convincentes, eles convencem a equipe de suporte a redefinir as credenciais de login, dando-lhes acesso inicial aos sistemas da empresa.

De lá, os atacantes não se movem aleatoriamente. Eles conduzem uma vigilância interna cuidadosa, vasculhando a documentação interna, Arquivos do SharePoint, e wikis corporativos para identificar contas de administrador e grupos de acesso privilegiado, especialmente aqueles ligados à gestão VMware. Em uma segunda chamada, eles se fazem passar por esses usuários de alto valor para obter controle administrativo.

Este processo contorna efetivamente muitas defesas técnicas, aproveitando o comportamento humano e protocolos de autenticação fracos em vez de quebrar o código.

Do Help Desk ao Hypervisor

Uma vez dentro, o grupo gira em direção às joias da coroa: a Infraestrutura VMware que alimenta grande parte do ambiente de servidor virtual de uma empresa.

Usando credenciais roubadas, eles ganham acesso ao Active Directory, então mova lateralmente para o vSphere, Plataforma de virtualização da VMware que gerencia frotas inteiras de máquinas virtuais (VMs). Eles não estão plantando ransomware em sistemas operacionais; em vez de, eles estão mirando na própria camada do hipervisor VMware, onde eles podem desligar ou criptografar ambientes inteiros com detecção mínima.

Os seus métodos são especialmente perigosos porque exploram ferramentas e processos que os próprios administradores usam - o que os especialistas em segurança chamam de “vivendo da terra” abordagem. Ao imitar a atividade administrativa normal, os invasores escapam de muitos sistemas de segurança tradicionais, como antivírus e software de detecção de endpoint, que muitas vezes não têm visibilidade dos sistemas de back-end da VMware.

Por que esses ataques de ransomware UNC3944 são tão difíceis de detectar

Parte do que torna essas intrusões difíceis de detectar é como o VMware registra a atividade. O sistema depende de várias camadas de registro — desde registros centralizados do vCenter que rastreiam ações administrativas, para logs de host ESXi de nível inferior e arquivos de auditoria.

O relatório da Mandiant analisa isso:

  • Registros do vCenter oferecer eventos estruturados, como logins ou desligamentos de VM. Eles são ideais para alertas e análises forenses se forem encaminhados para um sistema centralizado como um SIEM (Gestão de Informações e Eventos de Segurança) plataforma.
  • Registros ESXi, armazenado localmente, fornecer insights detalhados sobre como o próprio host está se comportando, como problemas de desempenho, falhas de hardware, ou atividade de serviço.
  • Registros de auditoria do ESXi, que não são habilitados por padrão, oferecem a visão mais precisa de uma potencial violação: registrando quem fez login, o que eles fizeram, e se comandos (como lançar malware) teve sucesso ou falhou.

A Mandiant recomenda que as organizações coletem todos os três tipos de logs para obter uma visão completa do que está acontecendo em seus ambientes virtuais.

Anatomia de um ataque de ransomware UNC3944

De acordo com o relatório, Os ataques da UNC3944 geralmente seguem um manual de cinco etapas:

  1. Compromisso Inicial – Obtenha acesso por meio de representação do help desk.
  2. Reconnaissance interna – Verificar os recursos da empresa em busca de contas de administrador e credenciais de acesso.
  3. escalação de privilégios – Segmente e represente usuários privilegiados, obtendo acesso de alto nível.
  4. Aquisição da VMware – Use o acesso ao Active Directory para acessar o ambiente vSphere e controlar ou desabilitar servidores virtuais.
  5. Extorsão ou Resgate – Criptografar sistemas ou roubar dados confidenciais para ganho financeiro.

Estes não são ataques de arrombamento e arrombamento. Cada movimento é deliberado, muitas vezes ocorrendo ao longo de dias ou semanas, com o objetivo de obter controle total sobre a infraestrutura de TI de uma organização.

O que está em jogo

Os métodos da UNC3944 já forçaram várias empresas a encerrar as operações virtuais, causando interrupções nas transações de varejo, programação de companhias aéreas, e processamento de seguros.

O uso do vSphere como um sistema de entrega de ransomware é especialmente preocupante, explicou um analista sênior da Mandiant. Muitas empresas ainda não percebem que sua camada de virtualização é um ponto cego. Sem o registro e a visibilidade corretos, os invasores podem operar sem serem detectados até que seja tarde demais.

Medidas de mitigação

Especialistas em segurança aconselham organizações a tomarem várias medidas urgentes:

  • Proibir redefinições de senha por telefone para contas de administrador. Exigir autenticação presencial ou multifator para quaisquer solicitações de redefinição de privilégios altos.
  • Habilitar e monitorar logs de auditoria do VMware. Eles fornecem insights cruciais sobre exatamente o que um agente de ameaça fez uma vez dentro.
  • Bloqueie a documentação e o acesso aos gerenciadores de senhas. Os agentes de ameaças estão cada vez mais pesquisando arquivos internos em busca de projetos operacionais e segredos administrativos.
  • Monitorar alterações de grupos sensíveis. Qualquer atualização para grupos de administração como “Administradores do vSphere” ou “Administradores de Domínio” devem disparar alertas e ser investigados imediatamente.

Pensamentos finais

Engenharia social, combinado com um profundo conhecimento da infraestrutura de TI empresarial, está dando a grupos como a UNC3944 acesso e controle sem precedentes. A Mandiant alerta que campanhas semelhantes provavelmente continuarão em setores que dependem fortemente de infraestrutura virtual, e onde os help desks continuam sendo um elo fraco na cadeia de segurança.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. CVE-2021-21985: Falha crítica no VMware vCenter precisa de correção imediata CVE-2021-21985 é uma vulnerabilidade crítica no VMware vCenter que precisa....
  2. VMware corrige oito problemas sérios de segurança (CVE-2022-22954) A VMware corrigiu um total de oito vulnerabilidades de segurança em ...
  3. CVE-2022-31656: Vulnerabilidade crítica de desvio de autenticação VMware A VMware lançou recentemente outro conjunto de patches abordando uma série de....
  4. CVE-2021-22005: A falha do VMware vCenter pode ser explorada pelo ransomware Um novo severo, vulnerabilidade do VMware vCenter Server de upload de arquivo arbitrário,...
  5. CVE-2021-22048: Patch disponível para falha do servidor VMware CVE-2021-22048 is a high-severity privilege escalation vulnerability in the VMware...
  6. CVE-2022-22966: Vulnerabilidade crítica do VMware Cloud Director Outra vulnerabilidade crítica do VMware que pode prejudicar as infraestruturas de nuvem..
  7. Gang RansomExx está explorando erros VMWare CVE-2019-5544, CVE-2020-3992 Operadores de ransomware são conhecidos por explorar várias vulnerabilidades, especially in...
  8. CVE-2023-34048: Vulnerabilidade grave no VMware vCenter Server Em uma tentativa de fortalecer sua infraestrutura de virtualização, VMware has...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo