178亿美元的“身份危机”:Scattered Spider组织对VMware的攻击如何预示传统网络安全的终结
该高级社会工程组织展示了人类心理而非恶意软件,已成为针对关键基础设施的勒索软件行动的主要攻击向量
谷歌威胁情报小组发布了一项关于Scattered Spider组织的紧急警告。这是一个高度复杂的网络犯罪团伙,他们通过精湛的人际操纵艺术来绕过传统安全措施。该组织最近针对关键基础设施、零售、航空和保险行业的攻击行动,标志着勒索软件行动如何以最小的技术复杂性实现最大影响的根本性转变。
与依赖利用软件漏洞的传统网络攻击不同,Scattered Spider组织将任何组织中最顽固的弱点——人类信任——武器化。他们的方法包括冒充员工,诱导IT帮助台人员重置密码,从而获得初步立足点,并在数小时内升级为对网络的完全控制。
Scattered Spider网络犯罪集团的关键属性和活动
| 方面 | 详情 |
|---|---|
| 组织名称 | Scattered Spider |
| 活跃时间 | 至少从2022年开始 |
| 主要动机 | 经济利益 |
| 目标行业 | 电信、零售、保险、航空、交通运输等 |
| 攻击技术 | 社会工程(网络钓鱼、短信钓鱼、MFA疲劳攻击、SIM卡劫持),勒索软件(ALPHV/BlackCat、DragonForce),数据窃取 |
| 初始访问向量 | 冒充IT帮助台人员,部署远程访问工具,窃取凭证和MFA代码 |
| 工具和技术 | 合法工具(Mimikatz、TeamViewer),利用系统自带工具进行攻击,云环境利用(AWS、Azure) |
| 攻击阶段 | 侦察、横向移动、权限提升、持久化、数据窃取、加密 |
| 影响示例 | MGM度假村攻击导致10天停运和约1亿美元损失 |
| 地理位置 | 美国、英国、加拿大 |
| 语言/文化优势 | 以英语为母语,能够有效进行社会工程 |
| 最新情报来源 | FBI和CISA咨询报告,MITRE ATT&CK框架映射,以及私营部门研究(2023-2025年) |
| 最新趋势(2025年) | 扩大行业目标范围,FBI和执法部门持续调查 |
六小时劫案:电话如何取代恶意软件成为现代勒索软件工具
该组织的行动手册揭示了一种精心策划的方法,优先考虑心理操纵而非技术复杂性。安全分析师将其策略描述为“极简却高效”,重点关注作为大多数企业运营支柱的VMware环境。
一旦进入网络,Scattered Spider的行动者会扫描高价值目标,特别是VMware vSphere管理员。然后,他们再次联系IT员工,利用其已建立的信任要求重置特权账户的密码。这使他们能够访问VMware vCenter Server Appliance,这是虚拟化基础设施的中央管理中心。
攻击者随后在ESXi主机上启用SSH,重置root密码,并安装远程访问工具。这种级别的访问使他们能够关闭虚拟机、附加虚拟磁盘以提取敏感数据,并在部署勒索软件之前系统地销毁备份系统。从初始联系到网络锁定,整个过程可能在数小时内完成。
为什么虚拟机监控器成为新的核心资产
针对VMware环境的攻击代表了勒索软件行动的战略演变。企业安全专家指出,虚拟化基础设施对攻击者越来越有吸引力,因为入侵虚拟机监控器层可以同时访问多个系统。
一位不愿透露姓名的网络安全研究员解释说:“当攻击者控制虚拟基础设施本身时,传统的终端保护变得无关紧要。他们攻击的不是单个计算机,而是托管数十甚至数百个关键业务系统的平台。”
这种方法已被证明特别有效,因为许多组织将其安全投资集中在检测恶意软件上,而不是防止未经授权的人员访问敏感系统。结果就是一些分析师所说的“人为防火墙”问题——社会工程完全绕过了技术控制。
从“广撒网”到“精准手术刀”:勒索软件的演变
Scattered Spider的攻击行动反映了重塑网络犯罪格局的更广泛趋势。近期行业数据显示,近一半的全球组织现在将勒索软件和社会工程列为主要网络风险,其中42%的组织在过去一年中报告了成功的社会工程入侵。
人工智能工具的整合显著加剧了这些威胁。网络犯罪分子现在利用生成式AI来制作更具说服力的钓鱼邮件,复制语音用于电话攻击,并以前所未有的规模创建个性化的冒充尝试。
包括Black Basta、Dark Angels和3AM在内的多个勒索软件组织都采用了类似策略,这表明社会工程已成为整个生态系统首选的攻击方法。勒索软件即服务(RaaS)平台的出现进一步普及了这些复杂的攻击技术,使技术能力较低的攻击者也能使用。
当航空公司和电网成为勒索软件的“金矿”
这些攻击扩展到关键基础设施领域,引发了对国家安全影响的严重担忧。能源、水务、交通和医疗系统——其中许多依赖于传统基础设施——对寻求最大程度破坏和经济影响的组织构成了有吸引力的目标。
航空业消息人士报告称,在零售和保险公司成功遭到攻击后,航空业面临的攻击有所增加。这些行业运营中断的潜在影响超越了经济损失,还涉及公共安全考虑和经济稳定。
政府网络安全官员强调,成功入侵关键基础设施已从一种生存威胁演变为“一种预期和反复发生的事件”,其对社会的破坏力可能与自然灾害或军事冲突相当。
密码重置热潮:MFA股票为何飙升
追踪网络安全市场的金融分析师指出,这种向针对人类的攻击转变带来了重大的投资影响。多因素认证(MFA)市场目前估值为178亿美元,复合年增长率为18%,是组织寻求加强人类防御的最直接受益者。
随着企业放弃易受SIM卡劫持攻击的短信和语音验证方法,基于硬件的认证提供商报告了25%的收入增长。通行密钥(Passkeys)——一种抵抗钓鱼的加密认证方法——的采用加速,美国和英国87%的大型企业正在实施这些技术。
VMware生态系统面临着安全问题和博通(Broadcom)所有权下近期许可变更带来的双重压力。欧洲市场报告的10-15倍价格上涨促使组织评估替代方案,包括Nutanix、Microsoft Hyper-V和云原生解决方案。这为独立于特定虚拟机监控器技术运行的备份和恢复解决方案创造了投资机会。
VMware的双重困境:许可费上涨与勒索软件现实
特权访问管理领域已成为另一个增长领域,市场对能够通过多渠道验证人类身份以授予管理访问权限的解决方案需求不断增加。语音生物识别和IT服务管理集成代表了这一更大类别中新兴的利基市场。
网络保险市场正在通过要求更强的认证措施作为保单条件来适应这些以人为中心的风险。一些业内观察人士预计,抗钓鱼多因素认证可能成为上市公司的一项上市要求,类似于萨班斯-奥克斯利法案的内部控制认证。
转向不进行加密的数据窃取——纯粹基于威胁发布敏感信息的勒索——可能会进一步重塑勒索软件经济。这种方法规避了现代不可变备份系统,同时降低了成功攻击所需的技术复杂性。
零信任势在必行:围绕人类弱点构建堡垒
安全专家建议组织实施“零信任”原则,即假设人类可能被入侵,而不是试图完全阻止入侵。这包括对所有帮助台凭证重置要求回拨验证程序,对所有特权角色实施抗钓鱼认证,并将备份基础设施等关键系统与标准认证机制隔离。
AI驱动攻击技术的快速演变预示着攻击方与防御方之间持续的军备竞赛。行业分析师预测,AI驱动的网络钓鱼、语音伪造和深度伪造视频通话将在未来两年内变得普遍。
管理关键基础设施或敏感数据的组织应将社会工程威胁视为需要立即关注的紧急运营风险。心理操纵与AI增强的结合,创造了能够以前所未有的效率绕过传统安全措施的攻击能力。
人为防火墙时代:技术与心理战的交汇
Scattered Spider的攻击行动表明,网络安全已从一个技术挑战根本性地转变为一个人类风险管理问题。那些继续主要投资于传统终端保护而忽视以人为中心防御的组织,可能会发现自己越来越容易受到这些演变后的攻击方法的影响。
对于投资者和企业领导者而言,这种转变既是风险也是机遇。那些通过强大的身份管理和以人为本的安全措施成功适应这种新威胁格局的公司可能会获得竞争优势,而未能进化的公司则可能面临灾难性的运营和财务后果。
投资论点
| 类别 | 详情 |
|---|---|
| 威胁机制 | 步骤与影响: 1. 帮助台欺诈(0-1小时):零日声誉受损。 2. 权限升级至vCenter(1-3小时):关闭关键工作负载(支付、ERP、POS)。 3. 虚拟机监控器根目录控制和备份删除(<6小时):勒索软件成本主要源于收入损失/罚款,而非赎金本身。泄露披露≈股价下跌。 |
| 市场趋势 | 身份与访问: MFA市场到2025年达178亿美元(+18%复合年增长率);87%的大型企业正在推出通行密钥。 特权访问: 询价请求(RFQ)现在要求“人工参与验证”。 虚拟机监控器: 博通(Broadcom)对VMware的10-15倍价格上涨推动Nutanix/Hyper-V的采用;超过3.7万个ESXi主机未打补丁。 备份: Rubrik/Cohesity正在增加“VMware防护”。 融资: 2025年第一季度103项安全交易总计22亿美元;身份安全占总额的31%。 |
| 行业风险 | 关键基础设施: 勒索软件风险高;看多硬件多因素认证,看空传统VMware基础设施。 航空/旅游: 运营中断=息税折旧摊销前利润(EBITDA)受损;看多云原生旅游科技。 零售: 对冲交易PCI-DSPM支付服务提供商与落后零售商。 保险: 看多拥有专有遥测技术(如Coalition)的保险公司。 |
| 前瞻展望 | 1. 由于勒索软件/博通因素,到2026年25%以上的本地VMware工作负载将迁移。 2. 到2027年,通行密钥将成为上市要求。 3. 到2028年,数据窃取勒索将超越加密锁(勒索软件)。 4. 帮助台“视频验证即服务”利基市场将出现。 |
| 投资组合操作 | 1. 增持硬件多因素认证(Yubico,Thales)。 2. 逢低买入CyberArk/BeyondTrust。 3. 积累VMware无关的备份SaaS(Rubrik,Cohesity)。 4. 做空VMware依赖严重、现金流紧张的公司。 5. 关注通行密钥纯粹提供商(Axiad,Trusona)的并购机会。 |
| 运营者指南 | 1. 到2025年第四季度强制要求特权角色使用抗钓鱼多因素认证。 2. 帮助台“回拨+带外”验证。 3. 隔离vCenter/ESXi(无AD集成,不可变备份)。 4. 模拟3-5天零收入停机情况。 5. 要求供应链中的通行密钥认证。 |
| 关键指标 | 使用FIDO2的员工比例(到2026年超过50%),vSphere与替代虚拟机监控器增长情况,每百万美元网络保险成本,不可变备份支出/IT资本支出。 |
| 核心要点 | Scattered Spider的攻击链(帮助台→vSphere)反映了一种利用心理学/虚拟化漏洞的新勒索软件经济。利用身份认证保障、虚拟机监控器替代方案和不可变备份。传统边界防御/VMware依赖性是高风险。 |
投资专业人士应考虑,过往业绩不能保证未来结果,在根据网络安全市场趋势做出投资决策前,应咨询合格的财务顾问。