Devis de remise multi-licences
Données concernant les menaces Ransomware Attaque de rançongiciel Scattered Spider

Attaque de rançongiciel Scattered Spider

Par Mezo en Ransomware, Menace persistante avancée (APT)
Se traduisent par :

Scattered Spider, un groupe de cybercriminels sophistiqué et agressif, a intensifié ses attaques contre les hyperviseurs VMware ESXi. Ciblant des secteurs clés comme la vente au détail, le transport aérien et les transports en Amérique du Nord, ses opérations sont calculées, délibérées et d'une efficacité redoutable. Leur succès ne repose pas sur des exploits logiciels, mais sur leur maîtrise de l'ingénierie sociale et de la manipulation de systèmes de confiance.

Tactiques sans exploits : l’ingénierie sociale au cœur

Plutôt que d'exploiter les vulnérabilités des logiciels, Scattered Spider s'appuie sur une tactique éprouvée : l'ingénierie sociale par téléphone. Le groupe contacte souvent les services d'assistance informatique pour se faire passer pour du personnel légitime, notamment des administrateurs hautement privilégiés. Ces appels s'inscrivent dans une stratégie de campagne plus large, rendant leurs attaques tout sauf aléatoires. Ils planifient méticuleusement leurs opérations pour cibler les systèmes et les données les plus sensibles d'une organisation.

Les acteurs du type « Scattered Spider » sont connus pour enregistrer des domaines trompeurs imitant étroitement l'infrastructure ou les portails de connexion de leurs cibles. Les noms de domaine les plus courants sont :

  • victimname-sso.com
  • nomdevictime-okta.com
  • victimname-servicedesk.com
  • sso-victimname.com
  • servicenow-victimname.com

Du service d’assistance à l’hyperviseur : la chaîne d’attaque multiphase

La méthodologie d’attaque de Scattered Spider se déroule en cinq phases stratégiques, chacune conçue pour augmenter l’accès et minimiser la détection :

Accès initial et escalade des privilèges
Les attaquants commencent par recourir à l'ingénierie sociale pour usurper l'identité des employés, récupérer les identifiants et la documentation interne. Ils extraient souvent des données de gestionnaires de mots de passe comme HashiCorp Vault et exploitent les processus de support informatique pour réinitialiser les mots de passe des administrateurs.

Mouvement latéral vers vSphere
En exploitant les identifiants Active Directory mappés aux environnements VMware, ils accèdent à vCenter Server Appliance (vCSA). Un outil appelé Teleport est déployé pour créer un shell inversé chiffré qui contourne les règles du pare-feu et établit un accès permanent.

Manipulation de l'hyperviseur et extraction de données
SSH est activé sur les hôtes ESXi, les mots de passe root sont réinitialisés et une attaque par échange de disque est exécutée. Cette attaque consiste à arrêter une machine virtuelle contrôleur de domaine, à détacher son disque virtuel, à le rattacher à une machine virtuelle contrôlée par l'attaquant et à extraire la base de données NTDS.dit avant d'inverser le processus.

Désactivation des mécanismes de récupération
Les tâches de sauvegarde, les instantanés et les référentiels sont supprimés pour éliminer les options de récupération et amplifier l'impact de l'attaque.

Déploiement de ransomwares
Les binaires de ransomware personnalisés sont transmis via SCP ou SFTP aux hôtes ESXi compromis, chiffrant ainsi les systèmes critiques dans l'environnement virtuel.

La vitesse et la furtivité de l’araignée dispersée

Ce qui distingue Scattered Spider, également connu sous des pseudonymes tels que 0ktapus, Muddled Libra, Octo Tempest et UNC3944, des acteurs traditionnels du rançongiciel, c'est la rapidité et la furtivité de ses opérations. Les experts soulignent que l'attaque, de l'accès initial au déploiement du rançongiciel, peut se dérouler en quelques heures seulement. Dans certains cas, plus de 100 Go de données ont été exfiltrés en moins de 48 heures. Le groupe a également été lié au programme de rançongiciel DragonForce, ce qui amplifie encore ses capacités.

Évolution des stratégies de défense : de l’EDR à la sécurité centrée sur l’infrastructure

En raison de la nature de ces attaques, les outils standards de détection et de réponse aux points d'extrémité (EDR) peuvent s'avérer insuffisants. Se défendre contre les attaques Scattered Spider nécessite une approche globale, centrée sur l'infrastructure. La stratégie de défense multicouche suivante est fortement recommandée :

Couche 1 : renforcement de vSphere et de l'hyperviseur

  • Activer le mode de verrouillage sur vSphere
  • Appliquer execInstalledOnly
  • Utiliser le cryptage VM
  • Supprimez les machines virtuelles inutilisées ou obsolètes.
  • Sécuriser et former le service d’assistance contre les tactiques d’usurpation d’identité.

Couche 2 : Protection de l'identité et de l'accès

  • Mettre en œuvre une authentification multifacteur (MFA) résistante au phishing.
  • Séparer l’infrastructure d’identité critique.
  • Évitez les dépendances d’authentification circulaires que les attaquants peuvent exploiter.

Couche 3 : Surveillance et isolation des sauvegardes

  • Centralisez la surveillance des journaux à partir de l'infrastructure clé.
  • Isolez les sauvegardes de l’accès à Active Directory.
  • Assurez-vous que les sauvegardes sont inaccessibles même aux comptes administrateurs compromis.

Conclusion : une nouvelle ère de risques liés aux rançongiciels

Les ransomwares ciblant l'écosystème vSphere, en particulier les hôtes ESXi et vCenter Server, représentent une menace sérieuse en raison de leur potentiel de perturbation rapide et à grande échelle. La nature calculée des opérations de Scattered Spider souligne la nécessité pour les entreprises de repenser leurs stratégies de défense. Ignorer ces risques ou retarder la mise en œuvre des contre-mesures recommandées peut avoir des conséquences catastrophiques, notamment des interruptions de service importantes, des pertes de données et des dommages financiers.

Tendance

Le plus regardé

Chargement...