El grupo cibercriminal conocido como Scattered Spider ha intensificado sus ataques dirigiéndose a hipervisores VMware ESXi en sectores clave de retail, aerolíneas y transporte en América del Norte.

Según un análisis detallado del equipo de Mandiant de Google, “las tácticas centrales del grupo se han mantenido consistentes y no dependen de la explotación de vulnerabilidades. En su lugar, utilizan un enfoque probado basado en llamadas telefónicas al departamento de soporte técnico”.

Los atacantes se caracterizan por ser agresivos, creativos y altamente hábiles en ingeniería social, logrando evadir incluso programas de seguridad avanzados. Sus campañas no son oportunistas, sino operaciones meticulosamente dirigidas a los sistemas y datos más críticos de las organizaciones.

También conocidos como 0ktapus, Muddled Libra, Octo Tempest y UNC3944, estos actores de amenazas obtienen acceso inicial mediante ingeniería social avanzada y luego aplican un enfoque de “vivir de lo que hay en el entorno” (Living-off-the-Land), manipulando sistemas administrativos confiables y explotando su control del Active Directory para moverse lateralmente hacia el entorno VMware vSphere.

Google destaca que este método proporciona una vía directa para la exfiltración de datos y la implementación de ransomware desde el hipervisor, evadiendo herramientas de seguridad y dejando pocas huellas del ataque.

La cadena de ataque sigue cinco fases principales:

1. Compromiso inicial, reconocimiento y escalamiento de privilegios: Los atacantes recolectan información sobre documentación interna, diagramas organizativos, administradores de vSphere y credenciales almacenadas en herramientas como HashiCorp Vault u otras soluciones de gestión de acceso privilegiado (PAM). En ocasiones, vuelven a contactar al soporte haciéndose pasar por un administrador de alto nivel para solicitar un restablecimiento de contraseña.
2. Acceso al entorno virtual: Utilizan las credenciales mapeadas del Active Directory para entrar a vCenter Server Appliance (vCSA). Luego ejecutan una herramienta llamada teleport que establece una shell inversa cifrada que esquiva las reglas del firewall.
3. Manipulación de ESXi: Habilitan conexiones SSH, restablecen contraseñas de root y ejecutan un ataque de intercambio de disco (disk-swap), donde apagan una máquina virtual del controlador de dominio (DC), desconectan su disco y lo conectan a otra VM bajo su control para copiar el archivo NTDS.dit (base de datos de Active Directory).
4. Eliminación de respaldos: Borran tareas de respaldo, instantáneas y repositorios, dificultando la recuperación.
5. Despliegue de ransomware personalizado: Usan acceso SSH para cargar binarios maliciosos a los hosts ESXi vía SCP o SFTP.

Según Google, esta amenaza requiere un cambio de paradigma: de la caza basada en endpoints (EDR) a una defensa centrada en la infraestructura. El ransomware que apunta a vSphere se diferencia del tradicional basado en Windows en dos aspectos clave: velocidad y sigilo.

Además, se reporta que el grupo Scattered Spider ha colaborado con el programa de ransomware DragonForce (también conocido como Slippery Scorpius), y en un caso exfiltraron más de 100 GB de datos en solo dos días.

Recomendaciones para mitigar estos ataques:

1. Endurecer entornos vSphere: Activar el modo lockdown, aplicar execInstalledOnly, cifrar las VMs, eliminar VMs obsoletas y reforzar el soporte técnico.
2. Fortalecer identidad y autenticación: Usar MFA resistente al phishing, aislar la infraestructura crítica de identidad, evitar bucles de autenticación.
3. Mejorar visibilidad y respaldo: Centralizar y monitorear logs clave, aislar respaldos del entorno productivo y garantizar que no sean accesibles por administradores comprometidos.

Finalmente, Google recomienda rediseñar la infraestructura de forma segura de cara al fin de soporte de VMware vSphere 7 en octubre de 2025.

“Ignorar estos riesgos interconectados y no aplicar las mitigaciones recomendadas dejará a las organizaciones vulnerables a ataques que pueden interrumpir sus operaciones y causar grandes pérdidas financieras.”

“El ransomware dirigido a la infraestructura vSphere, incluyendo hosts ESXi y servidores vCenter, representa un riesgo crítico debido a su capacidad de paralizar de inmediato toda la infraestructura virtualizada,” señaló Google.

Fuente: https://thehackernews.com/2025/07/scattered-spider-hijacks-vmware-esxi-to.html