Пресса о страховании, страховых компаниях и страховом рынке

SecurityLab, 28 июля 2025 г.

Их оружие — голос. Хакеры взламывают компании с помощью звонков в IT-поддержку

Им не нужны вирусы — достаточно уверенного тона и хитрости.

170 просмотров

Группировка Scattered Spider усилила атаки на корпоративные IT-среды, сосредоточив усилия на гипервизорах VMware ESXi в американских компаниях из розничной, транспортной и страховой отраслей. Эти атаки не используют традиционные уязвимости в программном обеспечении — вместо этого злоумышленники демонстрируют безупречное владение приёмами социальной инженерии , позволяющими обходить даже самые защищённые системы.

По данным Google Threat Intelligence Group, начальная фаза атаки строится на имитации сотрудника компании в разговоре с IT-службой поддержки. Злоумышленник добивается смены пароля пользователя в Active Directory и тем самым получает начальный доступ к внутренней сети. После этого начинается поиск ценной технической документации и ключевых учётных записей — прежде всего администраторов доменов и среды VMware vSphere, а также участников групп с расширенными правами.

Параллельно с этим производится сканирование на предмет наличия решений класса PAM (Privileged Access Management), способных содержать чувствительные данные и помочь при дальнейшем продвижении по инфраструктуре. Получив имена привилегированных пользователей, злоумышленники совершают повторные звонки, уже представляясь администраторами, и снова инициируют сброс пароля, но теперь для захвата привилегированного доступа.

Следующий этап — получение контроля над сервером управления виртуальной средой VMware vCenter (vCSA), который управляет всей архитектурой ESXi и виртуальными машинами на физических хостах. Получив такой уровень доступа, злоумышленники активируют SSH на ESXi-хостах, сбрасывают пароли root-пользователей и переходят к проведению так называемой атаки с подменой виртуального диска.

Эта техника заключается в отключении контроллера домена, отсоединении его виртуального диска и подключении его к другой, подконтрольной виртуальной машине. Там хакеры копируют файл NTDS.dit — базу данных Active Directory с хешами паролей — после чего возвращают диск обратно и включают исходную машину. Такой подход позволяет извлечь критически важные данные, не вызывая подозрений на уровне событий ОС.

Имея полный контроль над виртуализацией, злоумышленники также получают доступ к системам резервного копирования. Они очищают расписания, удаляют снимки и уничтожают сами хранилища резервных копий. Финальная стадия атаки — развёртывание шифровальщиков через SSH-подключения на всех обнаруженных в хранилищах виртуальных машинах. Результатом становится массовое шифрование данных и полная потеря управления со стороны организации.

Google описывает архитектуру атаки в пять фаз: от социальной инженерии до захвата всей инфраструктуры ESXi. На практике вся цепочка от первого звонка в поддержку до развёртывания шифровальщика может занять всего несколько часов. Примечательно, что в этих атаках не используются эксплойты уязвимостей, но их эффективность столь высока, что хакеры обходят большинство встроенных средств защиты.

Подобный подход уже применялся Scattered Spider во время громкого инцидента с MGM Resorts в 2023 году. Сегодня всё больше группировок перенимают такую тактику. Одной из причин является слабое понимание VMware-инфраструктур многими организациями и, как следствие, недостаточный уровень их защиты.

Чтобы снизить риск, Google опубликовала технические рекомендации, сводящиеся к трём основным направлениям:

- Первое — усиление защиты vSphere: включение опции execInstalledOnly, шифрование виртуальных машин, отключение SSH, удаление «осиротевших» VM и жёсткое применение многофакторной аутентификации.

- Второе — изоляция критически важных активов: контроллеров домена, PAM-систем и резервных хранилищ. Они не должны размещаться на тех же узлах, что и инфраструктура, которую они защищают.

- Третье — мониторинг: организация централизованного логирования, настройка оповещений на подозрительные действия (например, включение SSH, вход в vCenter, изменение групп администраторов), а также использование неизменяемых бэкапов с воздушным зазором и регулярное тестирование восстановления после атак на систему виртуализации.

Группировка Scattered Spider, также известная как UNC3944, Octo Tempest или 0ktapus, — одна из самых опасных в мире . Её отличает способность к тонкой социальной мимикрии: злоумышленники не просто копируют речевые паттерны сотрудников, но и воспроизводят их произношение, словарный запас и манеру общения. Несмотря на недавние аресты четырёх предполагаемых участников в Великобритании, активность группы не прекратилась. Более того, в последние месяцы её атаки стали всё более дерзкими и масштабными.

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »