Le célèbre groupe de cybercriminalité connu sous le nom de Scattered Spider cible les hyperviseurs VMware ESXi dans des attaques ciblant les secteurs de la vente au détail, des compagnies aériennes et des transports en Amérique du Nord.

« Les tactiques principales du groupe sont restées cohérentes et ne reposent pas sur des exploits logiciels. Ils utilisent plutôt une stratégie éprouvée, centrée sur les appels téléphoniques au service d’assistance informatique », a déclaré l’équipe Mandiant de Google dans une analyse approfondie.

Les acteurs sont agressifs, créatifs et particulièrement doués pour utiliser l’ingénierie sociale afin de contourner même les programmes de sécurité les plus avancés. Leurs attaques ne sont pas opportunistes, mais constituent des opérations ciblées et ciblées sur les systèmes et les données les plus critiques d’une organisation.

Également appelés 0ktapus, Muddled Libra, Octo Tempest et UNC3944, les acteurs de la menace ont pour habitude de mener des attaques d’ingénierie sociale avancées pour obtenir un accès initial aux environnements des victimes, puis d’adopter une approche « vivant de la terre » (LotL) en manipulant des systèmes administratifs de confiance et en tirant parti de leur contrôle d’Active Directory pour pivoter vers l’environnement VMware vSphere.

Google a déclaré que la méthode, qui fournit une voie d’exfiltration de données et de déploiement de ransomwares directement depuis l’hyperviseur, est « très efficace », car elle contourne les outils de sécurité et laisse peu de traces de compromission.

La chaîne d’attaque se déroule en cinq phases distinctes :

• La compromission initiale, la reconnaissance et l’élévation des privilèges ont permis aux acteurs malveillants de collecter des informations relatives à la documentation informatique, aux guides d’assistance, aux organigrammes et aux administrateurs vSphere, ainsi que de recenser les identifiants des gestionnaires de mots de passe comme HashiCorp Vault ou d’autres solutions de gestion des accès privilégiés (PAM). Les attaquants ont également appelé le service d’assistance informatique de l’entreprise pour se faire passer pour un administrateur de haut niveau et demander une réinitialisation du mot de passe afin de prendre le contrôle du compte.
• Pivotement vers l’environnement virtuel à l’aide des informations d’identification Active Directory mappées vers vSphere et accès à VMware vCenter Server Appliance (vCSA), après quoi la téléportation est exécutée pour créer un shell inversé persistant et chiffré qui contourne les règles du pare-feu
• Activation des connexions SSH sur les hôtes ESXi, réinitialisation des mots de passe root et exécution d’une attaque dite « disk-swap » pour extraire la base de données Active Directory NTDS.dit. Cette attaque consiste à éteindre une machine virtuelle (VM) du contrôleur de domaine (DC) et à détacher son disque virtuel, avant de le rattacher à une autre VM non surveillée sous son contrôle. Après copie du fichier NTDS.dit, le processus est inversé et le DC est remis sous tension.
• Armer l’accès pour supprimer les tâches de sauvegarde, les instantanés et les référentiels afin d’empêcher la récupération
• Utilisation de l’accès SSH aux hôtes ESXi pour envoyer leur binaire de ransomware personnalisé via SCP/SFTP

« La stratégie d’UNC3944 exige un changement fondamental de stratégie défensive, passant d’une chasse aux menaces basée sur l’EDR à une défense proactive centrée sur l’infrastructure », a déclaré Google. « Cette menace diffère des rançongiciels Windows traditionnels sur deux points : sa rapidité et sa furtivité. »

Le géant de la technologie a également dénoncé la « vélocité extrême » des acteurs de la menace, affirmant que toute la séquence d’infection, depuis l’accès initial jusqu’à l’exfiltration des données et le déploiement final du ransomware, peut se dérouler en quelques heures seulement.

Selon l’unité 42 de Palo Alto Networks , les acteurs de Scattered Spider sont non seulement devenus experts en ingénierie sociale, mais se sont également associés au programme de ransomware DragonForce (alias Slippery Scorpius), exfiltrant dans un cas plus de 100 Go de données sur une période de deux jours.

Pour contrer de telles menaces, il est conseillé aux organisations de suivre trois niveaux de protection :

• Activer le mode de verrouillage vSphere, appliquer execInstalledOnly, utiliser le chiffrement des machines virtuelles vSphere, mettre hors service les anciennes machines virtuelles, renforcer le service d’assistance
• Mettre en œuvre une authentification multifacteur (MFA) résistante au phishing, isoler l’infrastructure d’identité critique et éviter les boucles d’authentification
• Centralisez et surveillez les journaux clés, isolez les sauvegardes de l’Active Directory de production et assurez-vous qu’elles sont inaccessibles à un administrateur compromis.

Google exhorte également les organisations à réorganiser le système en gardant à l’esprit la sécurité lors de la transition depuis VMware vSphere 7, alors qu’il approche de sa fin de vie (EoL) en octobre 2025 .

« Les ransomwares ciblant l’infrastructure vSphere, y compris les hôtes ESXi et vCenter Server, présentent un risque particulièrement grave en raison de leur capacité à paralyser immédiatement et à grande échelle l’infrastructure », a déclaré Google .

« Si l’on ne parvient pas à gérer proactivement ces risques interconnectés en mettant en œuvre les mesures d’atténuation recommandées, les organisations seront exposées à des attaques ciblées qui peuvent rapidement paralyser l’ensemble de leur infrastructure virtualisée, entraînant des perturbations opérationnelles et des pertes financières. »