Scattered Spider lancia un ransomware sui sistemi VMware dirottati e Google

Una campagna informatica altamente "aggressiva", individuata a metà del 2025 dal Threat Intelligence Group (GTIG) di Google, sta rappresentando una grave minaccia per i principali settori industriali, tra cui il commercio al dettaglio, le compagnie aeree e le assicurazioni.

Questa sofisticata operazione è attribuita a Scattered Spider , un gruppo di hacker motivato da interessi finanziari, noto anche come 0ktapus e UNC3944, che è stato coinvolto in violazioni di dati di alto profilo, tra cui quelle che hanno colpito i giganti della vendita al dettaglio del Regno Unito M&S, Harrods e Co-op.

Sebbene diversi membri del gruppo siano stati arrestati e incriminati negli Stati Uniti e nel Regno Unito per gli attacchi agli MGM Resorts e ai principali rivenditori, il gruppo rimane molto attivo e continua a dimostrare una presenza globale.

Nella sua ultima campagna, come riportato da GTIG, il gruppo sta prendendo di mira gli account Active Directory compromessi per ottenere il controllo completo degli ambienti VMware vSphere , rubare dati sensibili e distribuire ransomware direttamente dall'hypervisor.

Questo metodo è particolarmente pericoloso perché spesso ignora gli strumenti di sicurezza tradizionali come Endpoint Detection and Response (EDR), che non hanno visibilità sull'hypervisor ESXi sottostante e sul vCenter Server Appliance (VCSA).

Il GTIG illustra come UNC3944 passi da un punto d'appoggio iniziale di basso livello al controllo completo dell'hypervisor attraverso cinque fasi metodiche. Il punto di ingresso critico riguarda l'ingegneria sociale telefonica, in cui gli aggressori si spacciano per un normale dipendente e telefonano all'help desk IT. Utilizzando informazioni personali pubblicamente disponibili e tattiche persuasive, inducono gli agenti dell'help desk a reimpostare le password di Active Directory.

Questo accesso iniziale consente loro di condurre una ricognizione interna, alla ricerca di obiettivi di alto valore come amministratori vSphere o potenti gruppi di Active Directory. Quindi effettuano una seconda chiamata, più informata, impersonando un amministratore con privilegi per assumere il controllo del proprio account. Questo insidioso processo in due fasi aggira le protezioni tecniche standard sfruttando le vulnerabilità nelle procedure di verifica dell'identità dell'help desk.

Una volta rubate le credenziali privilegiate di Active Directory, gli aggressori si muovono rapidamente per compromettere il vCenter Server. Da lì, ottengono un "accesso fisico virtuale" alla VCSA. Manipolano il bootloader del sistema per ottenere l'accesso root, abilitando SSH e quindi implementano uno strumento open source legittimo chiamato Teleport. Questo strumento crea un canale di comunicazione persistente e crittografato, bypassando di fatto la maggior parte dei firewall.

Grazie a questo controllo approfondito, possono abilitare SSH sugli host ESXi, reimpostare le password ed eseguire un "attacco offline" su macchine virtuali critiche, come i controller di dominio . Ciò comporta lo spegnimento di una VM di destinazione, lo scollegamento del suo disco virtuale, il suo collegamento a una VM "orfana" non monitorata e la copia di dati sensibili come il database di Active Directory.

Tutto ciò avviene a livello di hypervisor , rendendolo invisibile agli agenti di sicurezza interni. Prima di distribuire il ransomware, sabotano gli sforzi di ripristino prendendo di mira l'infrastruttura di backup, eliminando job e repository. Infine, utilizzano l'accesso SSH agli host ESXi per diffondere il loro ransomware personalizzato, forzando lo spegnimento delle VM e crittografando i file direttamente dall'hypervisor.

"Il piano d'azione di UNC3944 richiede un cambiamento radicale nella strategia difensiva, passando dalla ricerca delle minacce basata su EDR a una difesa proattiva e incentrata sull'infrastruttura", avverte Google. Il gruppo opera con estrema rapidità; l'intero attacco, dall'accesso iniziale all'implementazione del ransomware, "può verificarsi in poche ore". Pertanto, le organizzazioni devono proteggere i propri asset virtualizzati attraverso una solida verifica dell'identità, il rafforzamento di VMware, l'integrità dei backup e il monitoraggio continuo.

"L'elevata sofisticatezza dimostrata da Scattered Spider dovrebbe tenere i team di sicurezza in stato di massima allerta", ha affermato Thomas Richards , direttore delle pratiche di sicurezza delle infrastrutture presso Black Duck, un fornitore di soluzioni per la sicurezza delle applicazioni con sede a Burlington, Massachusetts.

"Gli attacchi di ingegneria sociale possono essere prevenuti con una formazione adeguata e un processo di verifica per verificare che il chiamante sia effettivamente chi dice di essere. Utilizzando credenziali valide e strumenti integrati, è difficile per i team di sicurezza capire se i dati sono compromessi o meno", ha consigliato.