- Google alerta a la técnica avanzada de ingeniería social
- Los piratas informáticos obtuvieron acceso accesible y lo usan para implementar ropa de rango
- El grupo se dirige a la infraestructura crítica, al por menor, a las aerolíneas y a otras industrias
El famoso grupo de revestimiento de scatterdster está utilizando ejemplos de VMware para dirigirse a compañías de infraestructura críticas en los Estados Unidos, advierten los investigadores.
El Grupo de Detective de Google Humpty (GITG) es investigadores de protección Encontró Los delincuentes también están apuntando a compañías críticas de infraestructura, pero minoristas, aerolíneas y la industria de seguros.
Los expertos han advertido que esta promoción se describe como “sofisticada y agresiva”, dividida en múltiples etapas que no duran más de horas.
En busca de la VCSA
En la propaganda, los piratas informáticos no usan ninguna debilidad, sino que buscan ingeniería social “agresiva, creativa y especialmente hábil”. Primero llegan a la mesa de TI de su víctima, disfrazan a un empleado y le piden al empleado que reinicie la cuenta de Active Directory.
Después de lograr el pie primario, escanearán la red para detectar objetivos de alto valor, como nombres de dominio, administradores VMware VSFIA y otros departamentos de seguridad, lo que puede permitir el acceso de administrador a su entorno virtual.
Luego, lo llegarán nuevamente, esta vez publicando como un usuario más conveniente, nuevamente quería un reinicio de contraseña, pero para una cuenta con mayores oportunidades.
A partir de ahí, quieren acceder al dispositivo VMware Visentter Server (VCSA), una máquina virtual predeterminada basada en Linux que proporciona administración central para el entorno VMware VSFIA, incluido el hipervisador ESXI.
Esto, en cambio, permite habilitar las conexiones SSH a sus hosts ESXi, restableciendo las contraseñas de root.
Desde este punto, se trata de detectar información confidencial para prepararse para configurar un cifrador. Toda la red se encuentra en la fase final del ataque de bloqueo, luego presiona para pagar las demandas de las víctimas.
GTIG dice que todo el ataque ocurre rápidamente, desde el acceso inicial al despliegue de RANSWOWER en “Simply Hours”, las compañías les advierten que miren más a su protección en su junta directiva y que usen MFA resistente a phishing.
A través de Computadora
