El Grupo de Inteligencia de Amenazas de Google ha revelado una operación cibernética altamente avanzada orquestada por el actor de amenazas UNC3944, también conocido por los alias «0ktapus», «Octo Tempest» y «Scattered Spider». Este grupo, motivado financieramente, ha ampliado su alcance para atacar a los sectores minorista, de aerolíneas y de seguros. Su estrategia se basa en la ingeniería social para infiltrarse en las organizaciones sin depender de las vulnerabilidades tradicionales del software.
Tácticas de Infiltración y Escalada de Privilegios
UNC3944 emplea tácticas telefónicas agresivas, haciéndose pasar por empleados o administradores para convencer a los equipos de soporte de TI de que restablezcan las contraseñas de Active Directory. Esta técnica les otorga acceso inicial a las cuentas de usuario. Este enfoque, centrado en el factor humano, les permite evadir las medidas de seguridad robustas y realizar reconocimiento en recursos internos como sitios de SharePoint y bóvedas de contraseñas. El objetivo es identificar grupos con privilegios elevados, como «administradores de vSphere» o «administradores de ESX».
Una vez que obtienen privilegios escalados, el grupo se enfoca en los entornos VMware vSphere, aprovechando su integración con Microsoft Active Directory para tomar el control de los hipervisores y desplegar ransomware directamente desde el plano de administración. El grupo se adhiere a una metodología de «vivir de la tierra», manipulando herramientas administrativas legítimas para minimizar los indicadores detectables de compromiso.
Persistencia y Extracción de Datos
Después de comprometer vCenter Server, los atacantes reinician el dispositivo para acceder a un shell raíz, lo que les permite establecer puertas traseras persistentes utilizando herramientas como Teleport para canales de comando y control cifrados. Esto facilita el robo de credenciales sin conexión al apagar máquinas virtuales críticas, como los controladores de dominio, y montar sus discos en máquinas virtuales huérfanas para extraer datos sensibles como la base de datos NTDS.dit. La operación también incluye el sabotaje de copias de seguridad mediante la eliminación de trabajos y repositorios, asegurando que las víctimas no puedan recuperarse antes de culminar con el cifrado a nivel de hipervisor utilizando archivos binarios personalizados enviados a los hosts ESXi a través de SSH.
La eficacia de estas operaciones se debe a la visibilidad limitada en las capas de virtualización, donde las herramientas de respuesta y detección de endpoints a menudo no monitorean los hipervisores ESXi o los dispositivos vCenter. Esto permite que toda la cadena de ataque, desde el acceso inicial hasta la implementación del ransomware, se desarrolle en cuestión de horas en lugar de días.
Estrategias de Defensa y Mitigación
Para contrarrestar estas amenazas, el Informe de Google Cloud enfatiza la necesidad de que las organizaciones adopten una estrategia de defensa multifacética que incluya el fortalecimiento proactivo, el aislamiento de identidad y la detección avanzada. Las mitigaciones clave incluyen:
- Autenticación multifactor resistente al phishing para los inicios de sesión de vCenter.
- Habilitar el Modo de Bloqueo de vSphere para restringir el acceso directo a ESXi.
- Implementar el cifrado de máquinas virtuales para proteger contra ataques de intercambio de disco.
El registro centralizado de eventos de vCenter, registros de auditoría de ESXi y registros de host estándar es crucial para detectar anomalías como reconfiguraciones inesperadas de VM o cambios en la membresía de grupos de Active Directory. Por ejemplo, monitorear eventos de vCenter como VmReconfiguredEvent puede revelar archivos adjuntos de disco no autorizados, mientras que las alertas sobre el ID de evento de AD 4728 para modificaciones en grupos relacionados con la copia de seguridad previenen el sabotaje.
La integridad arquitectónica es vital: aislar la infraestructura de respaldo en dominios separados con repositorios inmutables rompe las cadenas de confianza explotadas por UNC3944. Además, evitar bucles de autenticación al alojar proveedores de identidad fuera del entorno virtualizado mejora la resiliencia.
La proliferación de estas tácticas, más allá de UNC3944, a otros grupos de ransomware subraya la urgencia de que las entidades que dependen de vSphere reevalúen sus posturas de seguridad. Las defensas tradicionales, como la seguridad de los endpoints, son insuficientes contra las operaciones a nivel de hipervisor. Esto requiere herramientas de gestión continua de la postura para combatir la desviación de la configuración y asegurar que los controles como execInstalledOnly se sigan aplicando.
Al correlacionar los registros de Active Directory, vCenter y ESXi, y enviarlos a plataformas SIEM, los defensores pueden generar alertas de alta fidelidad para una intervención temprana. Esto transforma posibles infracciones en incidentes que pueden ser desalojados rápidamente. Este cambio de la búsqueda reactiva al fortalecimiento centrado en la infraestructura es esencial, ya que la velocidad y el sigilo de UNC3944 minimizan los tiempos de permanencia, exigiendo una acción inmediata ante patrones sospechosos para evitar la filtración y el cifrado de datos.
A medida que estos métodos se vuelven más comunes, priorizar las defensas de virtualización fortificadas será fundamental para salvaguardar los activos de la organización contra las ciberamenazas en evolución.
