Scattered Spider：ESXI大规模勒索攻击背后的组织

最初由Vali Cyber发布 作者：Nathan Montierth

新一轮勒索软件攻击者正在改写攻击规则手册——他们的目标瞄准了企业基础设施的核心：VMware ESXi。

Scattered Spider（亦被追踪为UNC3944、0ktapus和Muddled Libra）是当前运作中最灵活、最危险的威胁集群之一。他们不是传统的勒索软件团伙，而是一个由英语网络犯罪分子组成的松散网络，部分成员年仅16岁，通过Telegram、Discord和地下论坛组织实时协同攻击。

他们最具破坏性的两次行动？都针对ESXi。

从社会工程学到系统级关闭

2023年MGM度假村ESXi入侵事件标志着基础设施层勒索软件的转折点。在完成侦察并执行SIM卡交换后，Scattered Spider冒充员工绕过身份验证，欺骗MGM的IT帮助台重置凭证。数天内，超过100台ESXi虚拟机管理程序被BlackCat勒索软件加密——导致36小时服务中断，造成1亿美元损失，并达成4500万美元集体诉讼和解。

他们的战术已被关联到100多起定向攻击，包括据称支付1500万美元的凯撒娱乐，以及最近的玛莎百货——其ESXi系统遭入侵导致应用程序和门店瘫痪，客户数据泄露。损失可能超过4亿美元，接近玛莎百货年利润的一半。

自2022年以来，Scattered Spider不断完善这一攻击手册，通过语音钓鱼绕过多因素认证获取管理员权限，入侵了Twilio、Riot Games和DoorDash等公司。他们的攻击经过精心计算且不断进化——ESXi已成为主要目标。

为何选择ESXi？

ESXi虚拟机管理程序是理想目标：它们集中化、监控不足，且承载关键企业工作负载。一次入侵即可破坏数十甚至数百台虚拟机。

Scattered Spider及相关攻击者深知这一点。他们以ESXi为重点的行动符合更广泛的行业趋势：MITRE ATT&CK v17现已包含专门的ESXi矩阵，将虚拟机管理程序认定为高价值目标。

他们的战术融合了以身份为中心的入侵和基础设施滥用。值得注意的是，攻击者正在：

• 利用配置错误的SSH和单点登录获取远程访问或执行命令
• 在虚拟机管理程序层加密虚拟机以最大化运营中断
• 使用内置ESXi工具通过"无文件攻击"技术规避检测

这些并非假设性威胁。这一勒索软件攻击手册正在活跃且有效。

如何加强防御Scattered Spider

Scattered Spider不仅利用软件漏洞——他们还利用人员、流程漏洞和可见性盲点。他们的攻击经常完全绕过边界防御，针对身份、配置和虚拟化层的薄弱点。

要防御此类威胁，组织必须从以终端为中心的防御转向支持虚拟机管理程序的安全策略，包括：

保护远程访问路径：为SSH和其他特权访问点强制实施多因素认证。使用基于角色的访问控制和会话日志记录限制远程访问。

实施配置锁定策略：为ESXi建立强化基线配置。限制管理访问，禁用未使用服务，并限制系统关键文件的修改。

控制内置工具滥用：应用命令执行限制并验证管理工具的使用。行为监控有助于识别横向移动或可疑枚举。

检测早期入侵行为：使用异常检测标记异常活动——如未经授权的权限提升、异常文件系统访问或异常登录模式。

准备遏制和恢复：确保恢复计划包括基于快照的回滚、隔离的恢复环境和经过测试的备份完整性，以最小化停机时间。

这些策略相结合，有助于缓解当前Scattered Spider攻击核心的身份、权限和持久化技术。

最终思考

Scattered Spider不会消失。相反，他们去中心化、快速移动的结构——以及与成熟勒索软件附属组织的合作——使他们变得越来越危险。

他们对ESXi的攻击凸显了对手焦点的转变：从用户设备转向企业的虚拟化骨干。他们瞄准可见性低、控制往往最薄弱的层级。

虚拟机管理程序层的弹性现在对降低企业范围勒索软件风险至关重要。

Scattered Spider已经在你的基础设施中织网。立即加强防御——以免你的组织成为下一个受害者。