Rozproszony pająk uruchamia ransomware na przejętych systemach VMware i Google

Wysoce „agresywna” kampania cybernetyczna, zidentyfikowana w połowie 2025 r. przez Threat Intelligence Group (GTIG) należącą do Google, stwarza poważne zagrożenie dla głównych branż, w tym handlu detalicznego, linii lotniczych i ubezpieczeń.

Tę wyrafinowaną operację przypisuje się Scattered Spider , grupie hakerów o motywacjach finansowych, znanej również jako 0ktapus i UNC3944, która ma na swoim koncie głośne naruszenia bezpieczeństwa, m.in. te, które dotknęły brytyjskich gigantów handlu detalicznego M&S, Harrods i Co-op.

Chociaż kilku członków grupy zostało aresztowanych i oskarżonych w Stanach Zjednoczonych i Wielkiej Brytanii w związku z atakami na MGM Resorts i dużych sprzedawców detalicznych, grupa pozostaje bardzo aktywna i nadal wykazuje globalną obecność.

W ramach swojej najnowszej kampanii, o której donosi GTIG, grupa skupia się na przejętych kontach Active Directory , aby uzyskać pełną kontrolę nad środowiskami VMware vSphere , wykradać poufne dane i wdrażać oprogramowanie ransomware bezpośrednio z poziomu hiperwizora.

Ta metoda jest szczególnie niebezpieczna, ponieważ często omija tradycyjne narzędzia bezpieczeństwa, takie jak Endpoint Detection and Response (EDR), które nie mają wglądu w podstawowy hiperwizor ESXi i urządzenie vCenter Server Appliance (VCSA).

GTIG opisuje, jak UNC3944 przechodzi od początkowego, niskiego poziomu do pełnej kontroli nad hypervisorem w pięciu metodycznych fazach. Krytyczny punkt wejścia to socjotechnika telefoniczna, w której atakujący podszywają się pod zwykłego pracownika i dzwonią do pomocy technicznej. Wykorzystując publicznie dostępne dane osobowe i taktyki perswazyjne, nakłaniają agentów pomocy technicznej do zresetowania haseł Active Directory.

Ten wstępny dostęp pozwala im przeprowadzić wewnętrzny rekonesans, poszukując ważnych celów, takich jak administratorzy vSphere czy potężne grupy Active Directory. Następnie podejmują drugą, bardziej świadomą decyzję, podszywając się pod uprzywilejowanego administratora, aby przejąć ich konto. Ten sprytny, dwuetapowy proces omija standardowe zabezpieczenia techniczne, wykorzystując luki w procedurach weryfikacji tożsamości w dziale pomocy technicznej.

Po kradzieży uprzywilejowanych danych uwierzytelniających Active Directory, atakujący szybko przechodzą do ataku na vCenter Server. Stamtąd uzyskują „wirtualny dostęp fizyczny” do VCSA. Manipulują bootloaderem systemu, aby uzyskać dostęp do roota, umożliwiając obsługę protokołu SSH , a następnie wdrażają legalne narzędzie open source o nazwie Teleport. Narzędzie to tworzy trwały, szyfrowany kanał komunikacyjny, skutecznie omijając większość zapór sieciowych.

Dzięki tej głębokiej kontroli mogą włączyć SSH na hostach ESXi, resetować hasła i przeprowadzać „atak offline” na krytyczne maszyny wirtualne, takie jak kontrolery domeny . Polega on na wyłączeniu docelowej maszyny wirtualnej, odłączeniu jej dysku wirtualnego, podłączeniu jej do niemonitorowanej „osieroconej” maszyny wirtualnej i skopiowaniu poufnych danych, takich jak baza danych Active Directory.

Wszystko to dzieje się na poziomie hiperwizora , co czyni go niewidocznym dla agentów bezpieczeństwa działających w systemie gościa. Przed wdrożeniem ransomware, sabotują oni działania odzyskiwania, atakując infrastrukturę zapasową, usuwając zadania i repozytoria. Na koniec wykorzystują dostęp SSH do hostów ESXi, aby rozsyłać swój własny ransomware, wymuszając wyłączenie maszyn wirtualnych i szyfrując pliki bezpośrednio z poziomu hiperwizora.

„Podręcznik UNC3944 wymaga fundamentalnej zmiany strategii obronnej, przejścia od wykrywania zagrożeń opartego na EDR do proaktywnej obrony skoncentrowanej na infrastrukturze” – ostrzega Google. Grupa działa z ekstremalną szybkością; cały atak, od pierwszego dostępu do wdrożenia ransomware, „może nastąpić w ciągu zaledwie kilku godzin”. Dlatego organizacje muszą chronić swoje zwirtualizowane zasoby poprzez silną weryfikację tożsamości, wzmacnianie zabezpieczeń VMware, integralność kopii zapasowych i ciągły monitoring.

„Zaawansowana technologia Scattered Spider powinna postawić zespoły ds. bezpieczeństwa w stan najwyższej gotowości” — powiedział Thomas Richards , dyrektor ds. praktyk bezpieczeństwa infrastruktury w firmie Black Duck, dostawcy rozwiązań z zakresu bezpieczeństwa aplikacji z siedzibą w Burlington w stanie Massachusetts.

„Atakom socjotechnicznym można zapobiegać dzięki odpowiedniemu szkoleniu i procesowi weryfikacji, który potwierdza, że osoba dzwoniąca jest tym, za kogo się podaje. Korzystając z ważnych danych uwierzytelniających i wbudowanych narzędzi, zespołom ds. bezpieczeństwa trudno jest stwierdzić, czy dana osoba została naruszona, czy nie” – radził.