L’article de SecurityAffairs rapporte que le groupe cybercriminel Scattered Spider cible les hyperviseurs VMware ESXi dans les secteurs du commerce de détail, de l’aviation et du transport en Amérique du Nord. Ils utilisent principalement l’ingénierie sociale à travers des appels téléphoniques trompeurs aux services d’assistance informatique pour obtenir des accès, plutôt que d’exploiter des failles logicielles.
Leur approche repose sur la tactique de living-off-the-land, exploitant les vulnérabilités humaines pour accéder aux systèmes. Une fois l’accès obtenu, ils abusent de Active Directory pour atteindre VMware vSphere, exfiltrer des données et déployer des ransomwares, tout en contournant les outils de détection des menaces.
L’attaque se déroule en plusieurs phases, commençant par l’usurpation d’identité pour obtenir des réinitialisations de mots de passe, suivie d’une escalade des privilèges dans Active Directory. Les attaquants accèdent ensuite à l’interface vCenter pour manipuler les systèmes et installer des outils de contrôle à distance comme Teleport.
Les attaquants exploitent l’accès à vSphere pour voler des informations d’identification Active Directory, sabotent les sauvegardes, puis déploient des ransomwares en éteignant les machines virtuelles et en chiffrant leurs fichiers. Ce mode opératoire rapide et furtif complique la détection et la réponse aux incidents.
L’article conclut en soulignant la nécessité d’une stratégie de défense proactive axée sur l’infrastructure pour contrer ce type de menace, en raison de la rapidité et de la discrétion de l’attaque.
🔗 Source originale : https://securityaffairs.com/180466/cyber-crime/scattered-spider-targets-vmware-esxi-in-using-social-engineering.html