ALPHV/BlackCat fidye yazılımı operasyonu, Bellagio, Excalibur, Luxor, Mandalay Bay, MGM Grand ve New York-New York dahil Las Vegas kumarhanelerindeki operasyonları kesintiye uğratan ABD konaklama ve eğlence işletmecisi MGM Resorts’a yönelik devam eden siber saldırının arkasında görünüyor. .
İlk olarak kötü amaçlı yazılım araştırma topluluğu VX-Underground tarafından ortaya çıkarılan çete, LinkedIn’de buldukları bir MGM Resorts çalışanına karşı başarılı bir sosyal mühendislik saldırısı gerçekleştirdiğini iddia etti ve ardından kurbanın sistemlerine erişim sağlamak için kuruluşun BT yardım masasını aradı.
VX-Underground, “33.900.000.000$ değerindeki bir şirket 10 dakikalık bir konuşmayla mağlup oldu” dedi. bir gönderide gözlemlendi X (eski adıyla Twitter) hesabına.
Siber saldırının yarattığı kesinti beşinci gününe girerken, MGM Resorts henüz iddiaları doğrulamadı veya yalanlamadı ve bir siber güvenlik “sorunu” tespit ettiğini kabul etmek dışında başka bir açıklama yapmadı. Halka açık web sitesine erişilememesine rağmen sitelerinin normal şekilde çalıştığını söyledi.
Diğer kaynaklara göre, grubun tesislerindeki konuklar kalem ve kağıt kullanarak giriş yapmak zorunda kalmaktan, oda anahtarlarının çalışmamasına (MGM Resorts bunu yalanladı), oda içi telefon, TV ve Wi-Fi kesintilerine kadar çeşitli sorunlar bildirdi. , kullanılamayan slot makineleri ve kredi ve sadakat kartlarını kullanmayla ilgili sorunlar.
Google Cloud Mandiant Consulting’in baş teknoloji sorumlusu Charles Carmakal, Mandiant’ın sınıflandırmasında UNC3944 olarak takip edilen BlackCat çetesinin şu anda faaliyet gösteren en yaygın ve agresif tehdit aktörlerinden biri olmaya devam ettiğini söyledi.
“Son zamanlarda konaklama ve eğlence organizasyonlarını hedef almaları nedeniyle son zamanlarda büyük ilgi gördüler” dedi. “Grubun üyeleri, yerleşik çok yönlü gasp/fidye yazılımı gruplarının ve ulus devlet casusluk aktörlerinin çoğundan daha az deneyimli ve daha genç olsa da, büyük kuruluşlar için ciddi bir tehdit oluşturuyorlar.
Carmakal, “Birçok üyenin ana dili İngilizce ve inanılmaz derecede etkili sosyal mühendisler” dedi. “İnanılmaz derecede yıkıcı ve saldırganlar. Fidye yazılımı şifreleyicilerinin kullanılmasını gerektirmeyen çeşitli şekillerde BT kesintilerine neden olurlar.
“Ancak son birkaç ayda, ele geçirdikleri kurban ortamlarının bir alt kümesinde Black Cat şifreleyicilerini kullandıklarını gördük. Ve gasp ettikleri birkaç kurban için ALPHV’nin utandırma altyapısını kullanıyorlar. Savunmak için olgun güvenlik programlarına sahip birçok kuruluş için zorlu olan ticari beceriden yararlanıyorlar.”
“En önemli” aktif fidye yazılımı tehditlerinden biri olarak kabul edilen BlackCat, son aylarda aralarında Londra’daki Barts NHS Trust ve kozmetik devi Estée Lauder’ın da bulunduğu çok sayıda kurbana maruz kaldı.
Veri kurtarmaya odaklanın
Rubrik Zero Labs başkanı Steve Stone, Computer Weekly’ye MGM Resorts’un büyük ölçüde kritik operasyonel yetenekleri geri yüklemek için veri kurtarmaya odaklanacağını söyledi.
“Bu kurtarma hareketleri ya görünürlük, önceliklendirme ve mevcut saldırgan erişiminin anlaşılmasıyla yönlendirilecek ya da ‘kör’ olaylar olarak yürütülecek” dedi. “Kör kurtarma gerçekleştiren kuruluşlar, gerektiğinden daha uzun bir sürede kurtarma işlemi gerçekleştirebilecekleri için çok fazla veri kaybetme sorunuyla karşılaşacak veya kurtarma noktası saldırganların erişim kazanmasından sonraysa saldırganları yeniden devreye sokabilecekler.
“Başarılı, zamanında kurtarma, kurtarma sıralamasına ilişkin akıllı karar vermeyle yönlendirilir – her şey bir kerede kurtarılamaz – saldırganların izinsiz giriş öncesinde kurtarma yaparak erişimi kaybetmesini ve kurtarma işlemine en yakın kurtarma ile minimum veri kaybının meydana gelmesini sağlar mümkün olduğunca izinsiz giriş. Kurtarma durumlarındaki en başarılı kuruluşlar, izinsiz giriş bilgisiyle birlikte çevrimdışı, değişmez mağazalardaki verilerinin görünürlüğünden yararlanabiliyor.”
Stone, tarihsel olarak, halihazırda bir kurtarma planı hazırlamış ve bunu test etmiş olan kuruluşların neredeyse her zaman daha çabuk ayağa kalktığını, çünkü kurtarmanın bir dizi süreci uygulamaktan ibaret olduğunu gözlemledi; olmayanların ise kaçınılmaz olarak işleri çok daha uzun süre aksadı. BT ekipleri ayrıca bir kriz sırasında görünürlüğün önemli ölçüde azaldığı bir ortamda keşif ve iş akışı haritalaması da yapmalıdır.
Çifte şantaj (şifreleme artı sızma ve şantaj) saldırıları 2020’den bu yana yaygın olmasına rağmen çoğu kuruluşun hala ikinci adıma hazırlıksız olduğunu ekledi.
“Bu, özellikle bir ortamın aktif olarak şifrelendiği ve/veya izinsiz girişe maruz kaldığı durumlarda zordur” dedi. “Verilerin çalınıp çalınmadığını, bu verilerin neler içerdiğini ve olası bir veri kaybı gaspı tehdidiyle nasıl başa çıkılacağını değerlendirme yeteneği, modern fidye yazılımı saldırılarında kritik öneme sahiptir.”