Их оружие — голос. Хакеры взламывают компании с помощью звонков в IT-поддержку

Scattered Spider VMware ESXi Google vSphere шифровальщик социальная инженерия
Их оружие — голос. Хакеры взламывают компании с помощью звонков в IT-поддержку
Scattered Spider VMware ESXi Google vSphere шифровальщик социальная инженерия

Им не нужны вирусы — достаточно уверенного тона и хитрости.

image

Группировка Scattered Spider усилила атаки на корпоративные IT-среды, сосредоточив усилия на гипервизорах VMware ESXi в американских компаниях из розничной, транспортной и страховой отраслей. Эти атаки не используют традиционные уязвимости в программном обеспечении — вместо этого злоумышленники демонстрируют безупречное владение приёмами социальной инженерии , позволяющими обходить даже самые защищённые системы.

По данным Google Threat Intelligence Group, начальная фаза атаки строится на имитации сотрудника компании в разговоре с IT-службой поддержки. Злоумышленник добивается смены пароля пользователя в Active Directory и тем самым получает начальный доступ к внутренней сети. После этого начинается поиск ценной технической документации и ключевых учётных записей — прежде всего администраторов доменов и среды VMware vSphere, а также участников групп с расширенными правами.

Параллельно с этим производится сканирование на предмет наличия решений класса PAM (Privileged Access Management), способных содержать чувствительные данные и помочь при дальнейшем продвижении по инфраструктуре. Получив имена привилегированных пользователей, злоумышленники совершают повторные звонки, уже представляясь администраторами, и снова инициируют сброс пароля, но теперь для захвата привилегированного доступа.

Следующий этап — получение контроля над сервером управления виртуальной средой VMware vCenter (vCSA), который управляет всей архитектурой ESXi и виртуальными машинами на физических хостах. Получив такой уровень доступа, злоумышленники активируют SSH на ESXi-хостах, сбрасывают пароли root-пользователей и переходят к проведению так называемой атаки с подменой виртуального диска.

Эта техника заключается в отключении контроллера домена, отсоединении его виртуального диска и подключении его к другой, подконтрольной виртуальной машине. Там хакеры копируют файл NTDS.dit — базу данных Active Directory с хешами паролей — после чего возвращают диск обратно и включают исходную машину. Такой подход позволяет извлечь критически важные данные, не вызывая подозрений на уровне событий ОС.

Имея полный контроль над виртуализацией, злоумышленники также получают доступ к системам резервного копирования. Они очищают расписания, удаляют снимки и уничтожают сами хранилища резервных копий. Финальная стадия атаки — развёртывание шифровальщиков через SSH-подключения на всех обнаруженных в хранилищах виртуальных машинах. Результатом становится массовое шифрование данных и полная потеря управления со стороны организации.

Google описывает архитектуру атаки в пять фаз: от социальной инженерии до захвата всей инфраструктуры ESXi. На практике вся цепочка от первого звонка в поддержку до развёртывания шифровальщика может занять всего несколько часов. Примечательно, что в этих атаках не используются эксплойты уязвимостей, но их эффективность столь высока, что хакеры обходят большинство встроенных средств защиты.

Подобный подход уже применялся Scattered Spider во время громкого инцидента с MGM Resorts в 2023 году. Сегодня всё больше группировок перенимают такую тактику. Одной из причин является слабое понимание VMware-инфраструктур многими организациями и, как следствие, недостаточный уровень их защиты.

Чтобы снизить риск, Google опубликовала технические рекомендации, сводящиеся к трём основным направлениям:

  • Первое — усиление защиты vSphere: включение опции execInstalledOnly, шифрование виртуальных машин, отключение SSH, удаление «осиротевших» VM и жёсткое применение многофакторной аутентификации.
  • Второе — изоляция критически важных активов: контроллеров домена, PAM-систем и резервных хранилищ. Они не должны размещаться на тех же узлах, что и инфраструктура, которую они защищают.
  • Третье — мониторинг: организация централизованного логирования, настройка оповещений на подозрительные действия (например, включение SSH, вход в vCenter, изменение групп администраторов), а также использование неизменяемых бэкапов с воздушным зазором и регулярное тестирование восстановления после атак на систему виртуализации.

Группировка Scattered Spider, также известная как UNC3944, Octo Tempest или 0ktapus, — одна из самых опасных в мире . Её отличает способность к тонкой социальной мимикрии: злоумышленники не просто копируют речевые паттерны сотрудников, но и воспроизводят их произношение, словарный запас и манеру общения. Несмотря на недавние аресты четырёх предполагаемых участников в Великобритании, активность группы не прекратилась. Более того, в последние месяцы её атаки стали всё более дерзкими и масштабными.