Verspreide spin lanceert ransomware op gekaapte VMware-systemen, Google

Een zeer 'agressieve' cybercampagne, die medio 2025 door de Threat Intelligence Group (GTIG) van Google werd geïdentificeerd, vormt een ernstige bedreiging voor grote sectoren, waaronder de detailhandel, luchtvaart en verzekeringen.

Deze geavanceerde operatie wordt toegeschreven aan Scattered Spider , een financieel gemotiveerde hackersgroep die ook bekend is als 0ktapus en UNC3944. De groep is betrokken geweest bij opvallende inbreuken, waaronder die tegen de Britse retailgiganten M&S, Harrods en Co-op.

Hoewel verschillende leden van de groep in de Verenigde Staten en het Verenigd Koninkrijk zijn gearresteerd en aangeklaagd voor aanvallen op MGM Resorts en grote retailers, is de groep nog steeds zeer actief en is ze wereldwijd aanwezig.

In de nieuwste campagne, zoals gerapporteerd door GTIG, heeft de groep het op gecompromitteerde Active Directory -accounts gemunt om volledige controle te krijgen over VMware vSphere -omgevingen. Zo kunnen ze gevoelige gegevens stelen en ransomware rechtstreeks vanuit de hypervisor implementeren.

Deze methode is bijzonder gevaarlijk omdat traditionele beveiligingstools zoals Endpoint Detection and Response (EDR) vaak worden omzeild. Deze tools bieden namelijk geen inzicht in de onderliggende ESXi-hypervisor en vCenter Server Appliance (VCSA).

GTIG beschrijft hoe UNC3944 zich ontwikkelt van een initieel laagdrempelig systeem tot volledige hypervisorcontrole in vijf methodische fasen. Het kritieke instappunt is telefonische social engineering, waarbij aanvallers zich voordoen als een gewone medewerker en de IT-helpdesk bellen. Door gebruik te maken van openbaar beschikbare persoonlijke informatie en overtuigende tactieken, misleiden ze helpdeskmedewerkers om Active Directory-wachtwoorden te resetten.

Deze eerste toegang stelt hen in staat om interne verkenningen uit te voeren en te zoeken naar waardevolle doelwitten zoals vSphere-beheerders of machtige Active Directory-groepen. Vervolgens doen ze een tweede, beter geïnformeerde oproep, waarbij ze zich voordoen als een bevoegde beheerder om hun account over te nemen. Dit sluwe tweestapsproces omzeilt standaard technische beveiligingen door misbruik te maken van kwetsbaarheden in de identiteitsverificatieprocedures van de helpdesk.

Zodra geprivilegieerde Active Directory-referenties zijn gestolen, gaan de aanvallers snel over tot het compromitteren van de vCenter Server. Van daaruit verkrijgen ze "virtuele fysieke toegang" tot de VCSA. Ze manipuleren de bootloader van het systeem om root-toegang te verkrijgen, activeren SSH en implementeren vervolgens een legitieme open-sourcetool genaamd Teleport. Deze tool creëert een permanent, versleuteld communicatiekanaal dat de meeste firewalls effectief omzeilt.

Met deze diepgaande controle kunnen ze SSH inschakelen op ESXi-hosts, wachtwoorden resetten en een "offline aanval" uitvoeren op kritieke virtuele machines, zoals domeincontrollers . Dit houdt in dat een doel-VM wordt uitgeschakeld, de virtuele schijf wordt losgekoppeld, deze wordt gekoppeld aan een niet-gecontroleerde "verweesde" VM en gevoelige gegevens zoals de Active Directory-database worden gekopieerd.

Dit alles gebeurt op de hypervisorlaag , waardoor deze onzichtbaar is voor beveiligingsagenten in de gastomgeving. Voordat ze ransomware implementeren, saboteren ze de herstelwerkzaamheden door de back-upinfrastructuur aan te vallen en taken en repositories te verwijderen. Ten slotte gebruiken ze SSH-toegang tot ESXi-hosts om hun aangepaste ransomware te pushen, virtuele machines geforceerd uit te schakelen en bestanden rechtstreeks vanuit de hypervisor te versleutelen.

"Het handboek van UNC3944 vereist een fundamentele verschuiving in de verdedigingsstrategie, van EDR-gebaseerde dreigingsjacht naar proactieve, infrastructuurgerichte verdediging", waarschuwt Google. De groep werkt extreem snel; de volledige aanval, van de eerste toegang tot de ransomware-implementatie, "kan in slechts enkele uren plaatsvinden". Daarom moeten organisaties hun gevirtualiseerde assets beschermen met sterke identiteitsverificatie, VMware-beveiliging, back-upintegriteit en continue monitoring.

"De geavanceerde technologie die Scattered Spider tentoonstelt, moet ervoor zorgen dat beveiligingsteams in hoogste staat van paraatheid zijn", aldus Thomas Richards , Infrastructure Security Practice Director bij Black Duck, een in Burlington, Massachusetts gevestigde leverancier van oplossingen voor applicatiebeveiliging.

"Social engineering-aanvallen kunnen worden voorkomen met de juiste training en een testproces om te controleren of de beller wel is wie hij of zij zegt te zijn. Door gebruik te maken van geldige inloggegevens en ingebouwde tools, is het voor beveiligingsteams moeilijk om te bepalen of ze al dan niet gecompromitteerd zijn", adviseerde hij.