İhlal Bildirimi, İş Sürekliliği Yönetimi / Felaket Kurtarma, Siber Suçlar
Alphv/BlackCat Grubunun Sosyal Mühendislik Saldırısı Yoluyla Casino Operatörünü Vurduğu Bildirildi
Mathew J. Schwartz (euroinfosec) •
13 Eylül 2023
MGM Resorts, bariz bir hack saldırısıyla mücadele ederken rezervasyon ve rezervasyon sistemlerinin yanı sıra slot makineleri, otel odası kapı kilitleri, ATM’ler ve daha fazlası çevrimdışı durumda.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditlerle Mücadelenin Sınırlamalarını Aşmak: Gerçek Güvenlik Sorunlarına Gerçek Çözümler
Las Vegas merkezli MGM Resorts ilk olarak Pazartesi günü bazı otel ve kumarhane sistemlerini etkileyen “bir siber güvenlik sorunu” yaşadığını ve kesintinin en azından bir kısmının olaya müdahale çabalarından kaynaklandığı konusunda uyardı.
MGM Resorts Salı günü yaptığı açıklamada, “Sorunu tespit ettikten hemen sonra, önde gelen dış siber güvenlik uzmanlarının yardımıyla bir soruşturma başlattık” dedi.
“Ayrıca kolluk kuvvetlerine de bilgi verdik ve belirli sistemlerin kapatılması da dahil olmak üzere sistemlerimizi ve verilerimizi korumak için adımlar atıyoruz” dedi. “Soruşturmamız devam ediyor ve konuyu çözmek için özenle çalışıyoruz.”
MGM Resorts, dünya çapında 31 kumarhane oteli işleten dünyanın en büyük kumarhane operatörlerinden biridir. Şirketin Las Vegas’taki otelleri arasında Aria, Bellagio, Excalibur, Luxor, Mandalay Bay, MGM Grand, Mirage ve New York-New York bulunmaktadır. Şirket ayrıca Çin’in yanı sıra Maryland, Michigan, Mississippi, New Jersey, New York ve Ohio’da da kumarhane otelleri işletiyor.
Kesinti nedeniyle birden fazla misafir rapor edildi kalem ve kağıt kullanan personel tarafından kontrol edilmeleri ve oda anahtarlarının düzgün çalışmaması, kimliklerini doğrulamalarını ve erişime ihtiyaç duyduklarında güvenlik tarafından odalarına kadar eşlik edilmelerini gerektiriyordu.
Misafirler odalarındaki televizyon, telefon ve internet erişiminin çalışmadığını bildirdi. Kumarhane katında masa oyunlarının mevcut olmadığını ve slot makinelerinin çalışmadığını söylediler. Konuklar ayrıca ödeme kartlarının ve MGM Resorts’un ödül kartlarının kullanılamadığını, tesisin restoranlarının yalnızca nakit kabul ettiğini söyledi.
Çarşamba günü itibarıyla bu otellerin hiçbirinin web sitesi çalışmıyor gibi görünüyor. Bunun yerine, her sitedeki yer tutucu mesajlar, müşterileri rezervasyon ve restoran bilgileri için alternatif bir web sitesine yönlendirdi.
Kesintinin devam etmesiyle birlikte MGM Resorts Salı günü başka bir güncelleme yayınladı. Açıklamada, “Yemek, eğlence ve oyun dahil olmak üzere tatil köylerimiz şu anda faaliyettedir” denildi. ifade sosyal medyada yayınlandı. “Konuklarımız otel odalarına erişmeye devam edecek ve ön büro personelimiz gerektiğinde misafirlerimize yardımcı olmaya hazır. Sabrınız için teşekkür ederiz.”
Şirketin hisseleri Pazartesi günü %2,4 düştükten sonra Salı günü New York’ta %1,7 düşerek 41,99 dolara geriledi.
Fidye Yazılımı Grubuyla Bağlantıları
MGM Resorts, fidye yazılımının kesintiye karışıp karışmadığını söylemese de güvenlik araştırmacıları durumun böyle göründüğünü söylüyor.
Kötü amaçlı yazılım araştırma grubu VX-Yeraltı BlackCat olarak da bilinen Conti-yan ürün fidye yazılımı grubu Alphv ile yaptığı görüşmelere dayanarak, kesintinin, grubun yürütülmesi yaklaşık 10 dakika süren bir sosyal mühendislik saldırısına kadar uzandığını bildirdi.
VX-Underground, “Alphv fidye yazılımı grubunun MGM Resorts’u tehlikeye atmak için yaptığı tek şey LinkedIn’e girip bir çalışan bulmak ve ardından yardım masasını aramaktı” dedi. “Alphv fidye yazılımının bu özel alt grubu, ilk erişimde sosyal mühendislik konusunda oldukça yetenekli olma konusunda ün kazandı.”
Geçtiğimiz yıl boyunca Alphv, veri sızıntısı sitesine çok sayıda kurban olduğu iddia edilenleri göndermeye devam etti; bu da Alphv’nin şu anda faaliyette olan en üretken fidye yazılımı gruplarından biri olduğunu gösteriyor.
Bu, MGM Resorts’un yaşadığı ilk büyük siber güvenlik olayı değil. 2019 yazında bilgisayar korsanları, şirket tarafından işletilen bir “bulut sunucusundan” 10 milyon müşterinin verilerini çaldı. 2020’nin başlarında saldırganlar, kişilerin adları, adresleri ve pasaport numaraları da dahil olmak üzere verileri bir bilgisayar korsanlığı forumunda yayınlayarak sızdırdı.
Nevada’nın Siber Güvenlik Kuralları
MGM Resorts’un Nevada yetkililerine yapılan son saldırıda neler olduğunu tam olarak ayrıntılarıyla açıklaması gerekecek.
Geçtiğimiz Aralık ayında Nevada Oyun Komisyonu yeni siber güvenlik kurallarını kabul etti. Bunlar, kapsam dahilindeki tüm kuruluşların “kontrolde maddi kayıp, uzlaşma, veri veya bilgilerin izinsiz ifşa edilmesi veya diğer benzer olaylarla sonuçlanan” herhangi bir çevrimiçi saldırı konusunda oyun kurulunu mümkün olan en kısa sürede bilgilendirmesi gerekliliğini içerir, ancak Saldırıdan haberdar olduktan sonra en geç 72 saat içinde”
Kurulun talebi üzerine, kapsam dahilindeki kuruluşların aynı zamanda iç veya dış kaynakları kullanarak olayla ilgili kapsamlı bir soruşturma yürütmesi ve tüm sonuçları paylaşması da gerekiyor. Kurallara göre, “Raporun, sınırsız olarak, saldırının temel nedenini”, tüm kapsamını ve “saldırının gerçekleşmesine izin veren benzer olayları önlemek için alınan veya alınması planlanan her türlü eylemi” içermesi gerekiyor.