Scattered Spider startet Ransomware auf gekaperten VMware-Systemen, Google

Eine äußerst „aggressive“ Cyber-Kampagne, die Mitte 2025 von der Threat Intelligence Group (GTIG) von Google identifiziert wurde, stellt eine ernste Bedrohung für wichtige Branchen dar, darunter den Einzelhandel, Fluggesellschaften und Versicherungen.

Diese ausgeklügelte Operation wird Scattered Spider zugeschrieben, einer finanziell motivierten Hackergruppe, die auch unter den Namen 0ktapus und UNC3944 bekannt ist und an spektakulären Datendiebstählen beteiligt war, darunter auch solche, die die britischen Einzelhandelsriesen M&S, Harrods und Co-op betrafen.

Obwohl mehrere Mitglieder der Gruppe in den USA und Großbritannien wegen Angriffen auf MGM Resorts und große Einzelhandelsketten verhaftet und angeklagt wurden , ist die Gruppe nach wie vor äußerst aktiv und weist weiterhin eine globale Präsenz auf.

Wie GTIG berichtet , hat die Gruppe in ihrer jüngsten Kampagne kompromittierte Active Directory -Konten im Visier, um die vollständige Kontrolle über VMware vSphere -Umgebungen zu erlangen, vertrauliche Daten zu stehlen und Ransomware direkt vom Hypervisor aus zu verteilen.

Diese Methode ist besonders gefährlich, da sie häufig herkömmliche Sicherheitstools wie Endpoint Detection and Response (EDR) umgeht, denen ein Einblick in den zugrunde liegenden ESXi-Hypervisor und die vCenter Server Appliance (VCSA) fehlt.

GTIG beschreibt, wie UNC3944 in fünf methodischen Phasen von einem anfänglichen, unauffälligen Angriffspunkt zur vollständigen Hypervisor-Kontrolle gelangt. Der kritische Einstiegspunkt ist telefonisches Social Engineering, bei dem sich Angreifer als Mitarbeiter ausgeben und den IT-Helpdesk anrufen. Mithilfe öffentlich zugänglicher persönlicher Informationen und überzeugender Taktiken bringen sie Helpdesk-Mitarbeiter dazu, Active Directory-Passwörter zurückzusetzen.

Dieser erste Zugriff ermöglicht ihnen die interne Aufklärung und die Suche nach wichtigen Zielen wie vSphere-Administratoren oder einflussreichen Active Directory-Gruppen. Anschließend tätigen sie einen zweiten, fundierteren Anruf und geben sich als privilegierter Administrator aus, um deren Konto zu übernehmen. Dieser raffinierte zweistufige Prozess umgeht standardmäßige technische Schutzmaßnahmen, indem er Schwachstellen in den Identitätsprüfungsverfahren des Helpdesks ausnutzt.

Sobald privilegierte Active Directory-Anmeldeinformationen gestohlen wurden, kompromittieren die Angreifer umgehend den vCenter Server. Von dort aus erhalten sie „virtuellen physischen Zugriff“ auf den VCSA. Sie manipulieren den Bootloader des Systems, um Root-Zugriff zu erhalten, aktivieren SSH und setzen anschließend ein legitimes Open-Source-Tool namens Teleport ein. Dieses Tool erstellt einen dauerhaften, verschlüsselten Kommunikationskanal und umgeht so effektiv die meisten Firewalls.

Dank dieser umfassenden Kontrolle können sie SSH auf ESXi-Hosts aktivieren, Kennwörter zurücksetzen und einen „Offline-Angriff“ auf kritische virtuelle Maschinen wie Domänencontroller durchführen. Dabei wird eine Ziel-VM ausgeschaltet, ihre virtuelle Festplatte getrennt, sie an eine nicht überwachte „verwaiste“ VM angeschlossen und vertrauliche Daten wie die Active Directory-Datenbank kopiert.

All dies geschieht auf Hypervisor -Ebene und ist somit für Sicherheitsagenten im Gastsystem unsichtbar. Bevor Ransomware eingesetzt wird, sabotieren sie Wiederherstellungsbemühungen, indem sie die Backup-Infrastruktur angreifen und Jobs und Repositories löschen. Schließlich nutzen sie den SSH-Zugriff auf ESXi-Hosts, um ihre maßgeschneiderte Ransomware zu verbreiten, VMs zwangsweise auszuschalten und Dateien direkt vom Hypervisor aus zu verschlüsseln.

„Das Strategiehandbuch von UNC3944 erfordert eine grundlegende Änderung der Verteidigungsstrategie – weg von der EDR-basierten Bedrohungssuche hin zu einer proaktiven, infrastrukturzentrierten Verteidigung“, warnt Google. Die Gruppe agiert mit extremer Geschwindigkeit; der gesamte Angriff, vom ersten Zugriff bis zur Ransomware-Bereitstellung, „kann innerhalb weniger Stunden erfolgen“. Daher müssen Unternehmen ihre virtualisierten Assets durch strenge Identitätsprüfung, VMware-Härtung, Backup-Integrität und kontinuierliche Überwachung schützen.

„Die fortschrittlichen Technologien, die Scattered Spider zeigt, sollten die Sicherheitsteams in höchste Alarmbereitschaft versetzen“, sagte Thomas Richards , Infrastructure Security Practice Director bei Black Duck, einem Anbieter von Anwendungssicherheitslösungen mit Sitz in Burlington, Massachusetts.

„Social-Engineering-Angriffe können durch entsprechende Schulungen und ein Überprüfungsverfahren verhindert werden, um sicherzustellen, dass der Anrufer auch die Person ist, für die er sich ausgibt. Durch die Verwendung gültiger Anmeldeinformationen und integrierter Tools ist es für Sicherheitsteams schwierig zu erkennen, ob sie kompromittiert sind oder nicht“, riet er.