A VMware está sob ataque e os ataques assustam diferentes segmentos como varejo, aviação e transporte nos Estados Unidos. A ação seria conduzida pelo grupo de cibercrime conhecido como Scattered Spider, que tem como mira o VMware ESXi.
“As principais táticas do grupo permaneceram consistentes e não se baseiam em exploits de software. Em vez disso, eles usam um manual comprovado, centrado em ligações telefônicas para um help desk de TI”, afirmou a equipe da Mandiant, do Google.
“Os agentes são agressivos, criativos e particularmente habilidosos no uso de engenharia social para contornar até mesmo programas de segurança maduros. Seus ataques não são oportunistas, mas sim operações precisas e orientadas por campanhas, visando os sistemas e dados mais críticos de uma organização”, reforça a equipe de segurança.
Também chamados de 0ktapus, Muddled Libra, Octo Tempest e UNC3944, os agentes da ameaça têm um histórico de conduzir ataques avançados de engenharia social para obter acesso inicial aos ambientes das vítimas e, em seguida, adotar uma abordagem de “viver fora da terra” (LotL), manipulando sistemas administrativos confiáveis e aproveitando seu controle do Active Directory para migrar para o ambiente VMware vSphere.
O Google adverte que o método, que fornece um caminho para exfiltração de dados e implantação de ransomware diretamente do hipervisor, é “altamente eficaz”, pois ignora ferramentas de segurança e deixa poucos rastros de comprometimento. “Essa ameaça difere do ransomware tradicional para Windows em dois aspectos: velocidade e discrição.”
