Il gruppo cybercriminale noto come Scattered Spider è al centro di una nuova ondata di attacchi ransomware che colpiscono le infrastrutture critiche degli Stati Uniti, con particolare attenzione ai settori retail, aereo e dei trasporti. Questi attacchi si concentrano su VMware ESXi, sfruttando tecniche di social engineering avanzate e strategie mirate piuttosto che vulnerabilità software tradizionali. Il modus operandi del gruppo si basa su campagne precise, mirate a sistemi e dati di massimo valore, e non su attacchi opportunistici.

Metodologie di attacco

Gli aggressori utilizzano principalmente telefonate a help desk IT, sfruttando la manipolazione sociale per ottenere le credenziali di amministratori ad alto privilegio. Una volta ottenuto l’accesso iniziale, adottano una metodologia “living-off-the-land”, sfruttando strumenti e sistemi amministrativi già presenti nell’organizzazione, come Active Directory, per spostarsi lateralmente nell’infrastruttura fino a compromettere l’ambiente VMware vSphere.

Catena di attacco

La catena di attacco si sviluppa in cinque fasi chiave:

1. Compromissione iniziale e raccolta di informazioni tramite escalation dei privilegi;
2. Accesso all’ambiente virtuale;
3. Abilitazione delle connessioni SSH e attacchi disk-swap per esfiltrare la base dati Active Directory NTDS.dit;
4. Cancellazione di backup e snapshot per impedire la ripresa delle attività;
5. Distribuzione del ransomware personalizzato tramite accesso SSH.

Questo approccio permette agli attaccanti di aggirare molti sistemi di sicurezza e lasciare poche tracce, riducendo la possibilità di individuazione tempestiva.

Caratteristiche di Scattered Spider

Scattered Spider si distingue inoltre per la velocità delle sue operazioni: dalla compromissione iniziale all’esfiltrazione dei dati e al rilascio del ransomware possono passare solo poche ore. Il gruppo è noto anche per l’uso di domini che imitano quelli legittimi delle vittime, aumentando così l’efficacia delle campagne di phishing e social engineering.

Misure di difesa consigliate

Per proteggersi da queste minacce, è fondamentale adottare una difesa a più livelli:

• Abilitare le modalità di lockdown di vSphere;
• Applicare la crittografia delle VM e dismettere le vecchie macchine virtuali;
• Implementare autenticazione multi-fattore resistente al phishing;
• Isolare infrastrutture e backup critici;
• Monitorare centralmente i log;
• Assicurarsi che i backup siano inaccessibili ad amministratori compromessi.

Inoltre, con la fine del supporto a VMware vSphere 7 in arrivo, le organizzazioni dovrebbero riprogettare l’infrastruttura con la sicurezza come priorità.

L’attacco a VMware ESXi da parte di Scattered Spider rappresenta una minaccia grave, capace di paralizzare rapidamente l’intera infrastruttura virtuale di un’organizzazione e causare gravi danni operativi ed economici.