Kritik Altyapı Güvenliği, Siber Suçlar, Hizmet Olarak Siber Suçlar
Raporlara göre, MGM Resorts’u Vuran Aynı Gruba 30 Milyon Dolarlık Talebin Yarısı Ödendi
Mathew J. Schwartz (euroinfosec) •
14 Eylül 2023
Kumar oynarken kasanın her zaman kazandığını söylüyorlar, ancak bir fidye yazılımı grubu kumarhanelere yüksek bahisli saldırılar yaparak şansları kendi lehine çeviriyor gibi görünüyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Bu hafta MGM Resorts’un bariz bir fidye yazılımı salgınının kurbanı olduğu haberinin ardından, aynı fidye yazılımı grubunun Reno, Nevada merkezli Caesars Entertainment’a yönelik bir saldırısı gün ışığına çıktı. MGM Resorts fidye ödeyip ödemediğini söylemese de şirketin devam eden BT kesintileri ödeme yapmadığını gösteriyor.
Buna karşılık Caesars, aldıkları ilk 30 milyon dolarlık fidye yazılımı talebinin yaklaşık yarısı değerinde bir fidye ödedi; The Wall Street Journal’ın haberine göre, otel ve kumarhane zincirinin yakında ABD Menkul Kıymetler ve Borsa Komisyonu’na yapacağı düzenleyici başvuruda bunu ayrıntılarıyla açıklaması bekleniyor.
Aralarında Las Vegas’ta Caesars Palace, Harray’s, Eldorado ve Tropicana’nın da bulunduğu çok sayıda mülk işleten Caesars, yorum talebine hemen yanıt vermedi. Şirketin hisseleri Çarşamba günü New York’ta %2,7 düşüşle 52,35 dolara geriledi. Kamuya açık hiçbir rapor, sistemlerinin bozulduğunu öne sürmedi.
Güvenlik uzmanları Caesars’ın fidye ödemesinin sektörü daha da hedef haline getireceğini söylüyor. New York’ta kar amacı gütmeyen bir internet servis sağlayıcısı olan NYSERNet’in BT ve güvenlik yöneticisi John J. Rice, bir LinkedIn gönderisinde “Bu hedeflenen son Vegas kumarhane operatörü olmayacak” dedi. “Caesars’ın yakın zamanda fidye ödemesi ve MGM’nin hedef alması nedeniyle, sanırım sırada daha küçük ve daha az dayanıklı bir kumarhane şirketi var.”
MGM Resorts International ilk olarak Pazartesi günü yaptığı açıklamada, misafirlere otel odası kapılarını açmaktan slot makinesi kazançlarını manuel olarak ödemeye kadar her şey için yedekleme süreçlerini kullanmaya zorlayan bir “siber güvenlik sorunu” yaşandığı konusunda uyarmıştı. Şirket Salı günü yaptığı açıklamada “yemek, eğlence ve oyun da dahil olmak üzere tatil köylerimizin şu anda faaliyette olduğunu” söyledi, ancak konuklar ödeme kartlarını kullanamamak veya tesis bünyesindeki ATM’lerden nakit çekememek gibi zorluklar bildirdiler.
MGM Resorts’taki kesintilerin Perşembe günü de devam edeceği görüldü. Şirket bir saldırıya uğradığını veya herhangi bir fidye yazılımı veya veri hırsızlığının söz konusu olduğunu belirtmemiş olsa da, Alphv – diğer adıyla BlackCat – fidye yazılımı grubu talep edilen kredi Kötü amaçlı yazılım araştırma grubu VX-Underground’a yapılan saldırı için. Saldırganlar, MGM Resorts BT yardım masasını aradıklarını ve bir personele sosyal mühendislik yaparak kendilerine ağ erişimi sağladıklarını söyledi.
Alıntılanan Sosyal Mühendislik
Bloomberg, Caesars’a yönelik fidye yazılımı saldırısını ilk kez bildirdi ve saldırının üçüncü taraf bir BT sağlayıcısına yönelik 27 Ağustos gibi erken bir tarihte başlamış olabilecek bir sosyal mühendislik saldırısına dayandığını söyledi.
The Wall Street Journal’ın haberine göre saldırgan, bir BT yardım masasını şifre sıfırlaması için sosyal olarak tasarladı veya kandırdı. Google’ın Mandiant siber güvenlik bölümü gazeteye, saldırının UNC 3944 kod adlı bir grup hacker’a kadar takip edildiğini söyledi.
“Dağınık Örümcek” ve “Karışık Terazi” kod adlarıyla da bilinen grup, son iki yılda 100’den fazla kurban topladı ve kurbanlara telefon ederek onları kötü amaçlı web sitelerini ziyaret etmeye ikna etme veya yardım masalarını kandırarak onlara erişim sağlama konusunda uzmandır. Mandiant CTO Charles Carmakal, The Wall Street Journal’a şunları söyledi:
Carmakal, “Onlar iyi, ısrarcı ve etkili çünkü birçoğunun anadili İngilizce.” dedi. Grubun Alphv/BlackCat fidye yazılımı operasyonuna nasıl bağlanabileceği belli değil.
Palo Alto’nun Birim 42 tehdit istihbarat grubu, grup üyelerinin “hedeflerini takip etmede metodik ve saldırı stratejileri konusunda son derece esnek” olduklarını ve “alışılmadık derecede büyük bir saldırı araç setinden” yararlanarak hızlı bir şekilde taktik değiştirmekten çekinmediklerini açıkladı. başarılı olamadı.
Unit 42, Haziran ayındaki bir raporunda şöyle dedi: “Cephanelikleri, uygulamalı sosyal mühendislik ve smishing saldırılarından, niş penetrasyon testleri ve adli tıp araçları konusundaki uzmanlığa kadar uzanıyor ve bu tehdit grubuna sağlam ve modern bir siber savunma planına bile üstünlük sağlıyor.” Grup, saldırı vektörleri olarak düzenli olarak e-posta, telefon ve SMS kullanıyor.
“Vakalarımızın birçoğunda grup, hem yardım masası hem de diğer çalışanları telefonla meşgul ederek, onları güvenli olmayan eylemlerde bulunmaya ikna ederek alışılmadık derecede yüksek derecede rahatlık gösterdi” dedi.
Sızma testi uzmanı Rachel Tobac, sosyal medya aracılığıyla kuruluşların bu tür saldırılara karşı savunma yapmak için “telefon tabanlı kimlik doğrulama protokollerini” gözden geçirmekten başlayarak atabilecekleri bir dizi acil adım bulunduğunu söyledi.
“Herkese uyacak tek bir kalıp yok” olsa da, çalışanın doğum tarihi gibi bilgiye dayalı kimlik doğrulamayı hâlâ kullanan herhangi bir kuruluşa, özellikle sahtekarlarla mücadele etmek için doğrulanmış bir iletişim kanalı aracılığıyla tek kullanımlık şifreler kullanmaya geçmelerini ve geri aramaları kullanmalarını tavsiye ediyor. – ve önceden kararlaştırılan hizmet kodlarına veya PIN’lere atıfta bulunulması.
SocialProof Security’nin CEO’su Tobac, “Her çalışanın kendi kimlik doğrulama protokollerini anında oluşturmasını bekleyemeyiz – bunu hızlı bir şekilde yakalamak için doğru insan protokollerini sağlamak bizim işimiz” dedi.
Sezar’la uğraşmak
Bu kumarhane saldırganlarının adalet önüne çıkarılıp çıkarılmayacağı belirsizliğini koruyor, ancak tarihsel olarak Sezar’a karışan insanlar için işler iyi gitmemiş olsa da – kumarhanenin isminde olduğu gibi (bkz:: Fidye Yazılımı: Eski Raket, Yeni Görünüm).
Yunan yazar Plutarch’ın yayınladığı bir anlatıma göre, M.Ö. 75 yılında 25 yaşındaki Julius Caesar, Kilikyalı korsanlar tarafından kaçırılmış ve Akdeniz’de terör estirmiştir. Hikayeye göre, kaçıranlar fidye talebinde bulunduklarında Sezar buna gülüp geçmiş, fidyenin artırılmasını talep etmiş ve onu kaçıranlara emir vermeye devam etmişti. Sezar’ın arkadaşları fidyeyi ödeyip özgürlüğüne kavuştuktan sonra Sezar, onu kaçıranların yakalanıp çarmıha gerilmesini emretti.