- Google memperingatkan taktik rekayasa sosial canggih yang canggih
- Peretas mendapatkan akses istimewa dan menggunakannya untuk menggunakan ransomware
- Kelompok ini menargetkan infrastruktur kritis, ritel, maskapai penerbangan, dan industri lainnya
Grup Ransomware yang tersebar yang terkenal menggunakan instance VMware untuk menargetkan organisasi infrastruktur kritis di AS, para peneliti telah memperingatkan.
Peneliti keamanan dari Google Ancaman Intelijen (GITG) telah menemukan bahwa para penjahat menargetkan perusahaan infrastruktur penting, tetapi juga industri ritel, maskapai penerbangan, dan asuransi.
Kampanye ini digambarkan sebagai “canggih dan agresif”, dibagi menjadi beberapa fase yang bertahan lebih dari beberapa jam, para ahli memperingatkan.
Sedang berburu VCSA
Dalam kampanye tersebut, para peretas tidak mengeksploitasi kerentanan apa pun, tetapi menggunakan rekayasa sosial yang “agresif, kreatif, dan sangat terampil”. Pertama -tama mereka menjangkau meja IT korban mereka, menyamar sebagai karyawan, dan meminta reset pada akun direktori aktif karyawan.
Setelah mendapatkan pijakan awal, mereka akan memindai jaringan untuk mengidentifikasi target bernilai tinggi, seperti nama domain, admin VMware vSphere, dan departemen keamanan lainnya yang dapat memberi mereka akses admin ke lingkungan virtual.
Kemudian, mereka akan menjangkau lagi, kali ini menyamar sebagai pengguna yang lebih istimewa, sekali lagi meminta reset kata sandi – tetapi untuk akun dengan hak istimewa yang lebih tinggi.
Dari sana, mereka berupaya mengakses alat VMware VCenter Server (VCSA), mesin virtual berbasis Linux yang telah dikonfigurasikan sebelumnya yang menyediakan manajemen terpusat untuk lingkungan vsphere VMware, termasuk hypervisor ESXI.
Ini, pada gilirannya, memungkinkan mereka untuk mengaktifkan koneksi SSH pada host ESXI, mengatur ulang kata sandi root.
Dari titik ini, ini semua tentang mengidentifikasi dan mengekspiltrasi informasi sensitif, dalam persiapan untuk penyebaran enkriptor. Mengunci seluruh jaringan adalah tahap akhir dari serangan, setelah itu para korban ditekan untuk membayar permintaan tebusan.
GTIG mengatakan bahwa seluruh serangan terjadi dengan cepat, beralih dari akses awal ke penyebaran ransomware hanya dalam “jam kerja”, perusahaan peringatan untuk memperketat keamanan mereka di seluruh papan, dan menggunakan MFA yang tahan phishing.
Melalui Komputer bleeping
