Hackers da Scattered Spider atacam varejo, empresas de seguro e companhias aéreas

O grupo Scattered Spider lidera uma nova onda de ataques cibernéticos mirando a plataforma de virtualização de computação em nuvem VMware vSphere. Conforme revelou o Grupo de Inteligência de Ameaças do Google (GTIG), na última quarta-feira (23), empresas dos setores de varejo, seguros e companhias aéreas dos Estados Unidos são os alvos.

A organização, também conhecida como UNC3944 e 0ktapus, segue ativa e realizando ataques mesmo com vários integrantes presos depois de invadirem os sistemas da MGM Resorts e grandes varejistas nos mercados americano e britânico, segundo o relatório. Nesta nova campanha, os autores não exploram vulnerabilidades de segurança.

Como acontece o ataque?

O alvo agora está nas contas comprometidas do Active Directory, possibilitando obter acesso total aos ambientes virtualizados para o roubo de informações sigilosas e a distribuição de ransomware entre as empresas que usam o VMware vSphere. Para tanto, os cibercriminosos usam técnicas de engenharia social.

• De acordo com o GTIG, membros do Scattered Spider se passam por funcionários de clientes da plataforma e ligam para o suporte técnico;
• Aproveitando informações disponíveis publicamente e métodos persuasivos, os hackers convencem os atendentes a redefinirem as senhas para o Active Directory;
• Depois, eles mapeiam a rede em busca de alvos de alto valor e fazem uma nova ligação para o suporte, trocando a senha de administrador com privilégios avançados;
• Nos passos seguintes, os cibercriminosos obtêm acesso a uma máquina virtual para gerenciar todo o ambiente, redefinindo senhas e copiando os arquivos disponíveis;
• Eles acessam os ativos da infraestrutura por completo, incluindo as máquinas de backup, e implantam o ransomware, criptografando todos os arquivos detectados.

O ataque envolve cinco fases específicas e chama a atenção pela velocidade da operação. Do acesso inicial a partir da ligação para o suporte até o sequestro dos arquivos geralmente passam apenas poucas horas, como explicaram os pesquisadores que identificaram a campanha.

Mesmo com esse tipo de ataque não sendo novidade, o GTIG destaca que a falta de familiaridade com o ambiente VMware tem deixado as organizações vulneráveis, possibilitando ações maliciosas que não dependem da exploração de falhas técnicas.

Formas de mitigação

Os especialistas em segurança do Google divulgaram um guia que pode ajudar as empresas a se protegerem deste novo ataque do Scattered Spider. Uma das medidas é bloquear o acesso ao vSphere usando configurações mais restritivas, bem como monitorar os ajustes feitos no sistema.

A equipe também sugeriu adotar a autenticação multifator resistente a phishing e o isolamento de ativos críticos em plataformas na nuvem separadas. Outras recomendações são o monitoramento de alterações administrativas e a opção por backups imutáveis com testes de recuperação frequentes.

Já a proteção contra ataques de engenharia social envolve a realização de treinamentos específicos, que ajudam a verificar se alguém realmente é quem diz ser. Todas as orientações estão disponíveis no site do GTIG.

Curtiu o conteúdo? Continue no TecMundo e compartilhe as notícias com os amigos nas redes sociais.