İhlal Bildirimi, Kritik Altyapı Güvenliği, Siber Suçlar
MGM Resorts, Aynı Alphv/BlackCat Fidye Yazılımı Grubu Tarafından Gasp Almaya Devam Ediyor
Mathew J. Schwartz (euroinfosec) •
15 Eylül 2023
Kumarhane ve otel devi Caesars Entertainment, müşterilerini yakın zamanda gerçekleşen bir hack saldırısında kişisel bilgilerinin çalındığı konusunda uyarıyor. Fidye için Caesars’ı başarılı bir şekilde çökerttikten sonra aynı saldırganlar, EXSi hipervizörlerini kriptoyla kilitlediklerini iddia ederek MGM Resorts’a şantaj yapmaya devam ediyor.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Conti’den türeyen ve BlackCat olarak da bilinen Alphv fidye yazılımı grubunun gerçekleştirdiği her iki saldırı da ilk kez bu hafta kamuoyuna duyuruldu. Bunun sonucunda MGM Resorts yaygın BT kesintileriyle karşı karşıya kalmaya devam ediyor (bkz: Araştırmacılar, Büyük MGM Tesislerindeki Kesintinin Fidye Yazılımlarına Bağlı Olduğunu Söyledi).
Caesars herhangi bir kesinti bildirmedi ve soruşturması devam ederken, bir saldırganın birçok kişinin ehliyet veya Sosyal Güvenlik numaralarını içeren sadakat kulübü üye veritabanının bir kopyası da dahil olmak üzere müşterilerle ilgili bilgileri çaldığının doğrulandığını söyledi (bkz: Caesars Entertainment’ın Saldırganlara Fidye Ödediği Bildirildi).
Caesars Perşembe günü ABD Menkul Kıymetler’e sunulan 8-K “planlanmamış maddi olaylar veya kurumsal olaylara ilişkin rapor” formunda, “Yetkisiz aktör tarafından elde edilen dosyalarda yer alan ek kişisel veya diğer hassas bilgilerin kapsamını hala araştırıyoruz” dedi. ve Değişim Komisyonu. Şirket, saldırganların aynı zamanda şifreleri, PIN kodlarını, banka hesap bilgilerini veya kredi veya banka kartı verilerini de çalıp çalmadığının henüz belli olmadığını söyledi.
Caesars, kendisine yönelik saldırının ne zaman başladığını söylemedi, bunun yerine “son zamanlarda BT ortamında” şirket tarafından kullanılan dış kaynaklı bir BT destek sağlayıcısına yönelik bir sosyal mühendislik saldırısından kaynaklanan şüpheli etkinlik tespit ettiğini belirtti. Şirket, 7 Eylül’de bilgisayar korsanının verileri çaldığını doğruladığını söyledi.
Şirket, “Fiziksel mülklerimiz ile çevrimiçi ve mobil oyun uygulamalarımız da dahil olmak üzere müşteriye yönelik operasyonlarımız bu olaydan etkilenmedi ve kesintisiz olarak devam ediyor” dedi.
Caesars, etkilenen tüm bireylere kimlik hırsızlığı izleme hizmeti sunacağını ve “önümüzdeki haftalarda” eyaletlerin veri ihlali bildirim kurallarının gerektirdiği şekilde mağdurlarla doğrudan iletişime geçeceğini söyledi.
Caesars’a yönelik fidye yazılımı saldırısına ilişkin haberler ilk olarak Çarşamba günü Bloomberg tarafından bildirildi. The Wall Street Journal’ın haberine göre şirket, Alphv’ye saldırganların talep ettiği 30 milyon doların yaklaşık yarısı kadar fidye ödedi.
SEC dosyasında Caesars’ın fidye yazılımı ödemesini doğruladığı görülüyor. “Çalınan verilerin yetkisiz aktörler tarafından silinmesini sağlamak için adımlar attık ancak bu sonucu garanti edemiyoruz” dedi.
Gaspçılar MGM’yi tehdit ediyor
MGM Resorts’a yönelik saldırının kamuya açık işaretleri ilk olarak Pazartesi günü, şirketin Las Vegas ve ötesindeki otel ve kumarhanelerinin BT arızalarından muzdarip olduğuna dair yaygın raporların ortasında ortaya çıktı. Misafirler, diğer aksaklıkların yanı sıra odalarına girmek için anahtar kartlarını kullanamadıklarını, restoranlarda kredi kartı kullanarak ödeme yapamadıklarını veya ATM’lerden para çekemediklerini bildirdi.
MGM Resorts Salı günü yaptığı açıklamada, kesintilerin sebebini belirsiz bir “siber güvenlik sorunu” olarak nitelendirdi ve devam eden bir soruşturma kapsamında “iş operasyonlarını güvence altına almak için önlemler uygulamaya ve uygun şekilde ek adımlar atmaya” devam ettiğini söyledi. Ayrıca şirket, “belirli sistemlerin kapatılması da dahil olmak üzere sistemlerimizi ve verilerimizi korumak için adımlar attığını” söyledi.
MGM Resorts bir fidye yazılımı grubu tarafından saldırıya uğrayıp uğramadığını söylemezken, Alphv, VX-Underground kötü amaçlı yazılım araştırma grubuyla iletişim kurarak saldırının sorumluluğunu üstlendi.
Saldırganlar, 2022 yılında yıllık gelirinin 13,1 milyar dolar olduğunu bildiren MGM Resorts’u Tor tabanlı veri sızıntısı sitesinde listeleyerek ve saldırıyı detaylandırarak gasp etmeye devam ediyor.
Fidye yazılımı grubu yaptığı açıklamada, 8 Eylül’de MGM Resorts’un BT ortamına sızarak Okta kimlik sunucularına ve şirketin Active Directory uygulamasına atıfta bulunabilecek “Azure kiracısına” yönetici düzeyinde erişim elde ettiğini söyledi. Saldırganlar, MGM Resorts’un cumartesi ve pazar günleri ağının bazı kısımlarını proaktif olarak devre dışı bıraktığını söyledi.
Pazartesi günü Alphv, fidye talep etmesinden ve MGM Resorts’un ödeme yapmamasından veya iddiaya göre iletişim kurmaya çalışmamasından sonra “ortamlarındaki 100’den fazla ESXi hipervizörüne karşı başarılı bir şekilde fidye yazılımı saldırıları başlattığımızı” söyledi.
Saldırganlar herhangi bir veri çalıp çalmadıklarını teyit etmekten özellikle kaçınıyorlar. Bunun yerine, açıklamaları kapsamlı bir şekilde kendini tanıtmayı içeriyor ve MGM Resorts’un iş uygulamaları hakkında asılsız iddialarda bulunuyor; bunların tümü fidye yazılımı kullanan şantajcıların tipik hareketleridir.
Recorded Future’ın baş istihbarat analisti Allan Liska bir blog yazısında, “Bu fidye yazılımı manifestolarının çoğuna benzer şekilde bu da keyfine düşkün ve sahte öfke dolu” dedi. “Bu tabii ki burada suçlu olanların kendileri olduğu, ağlara sızdıkları, verileri çaldıkları, sistemleri kilitledikleri ve MGM şantaj taleplerini ödemediği takdirde hassas verileri sızdırmakla tehdit ettikleri gerçeğini tamamen göz ardı ediyor.”
Fidye Ödeme Sorunları
Ne Caesar ne de MGM Resorts, kendilerine yönelik saldırılar ve bunlara verilen yanıtlarla ilgili ek bilgi taleplerine yanıt vermedi.
Caesars’ın saldırganlara ödediği yaklaşık 15 milyon dolarlık fidye ödemesi, 30 Haziran’da sona eren yılda elde edilen 11,4 milyar dolarlık yıllık gelirin küçük bir kısmı olacak.
Kolluk kuvvetleri yetkilileri ve güvenlik uzmanları, saldırganlara fidye ödemenin suçu ödüllendirdiği ve bu yasa dışı iş modelini sürdürerek tekrarlanan saldırılara yol açtığı ve yeni gelenleri cezbettiği konusunda uyarıyor. Uzmanlar, ödeme yapıp yapmama kararının bir iş kararı olduğunu ve bazen bir mağdurun, şifrelenmiş verileri geri yüklemek için bir şifre çözücüye para ödemesi gerektiğini veya iflas etme riskiyle karşı karşıya kaldığını kabul ediyor.
Fidye yazılımı ve kolluk kuvvetleri uzmanları, kurbanlara, Caesars’ın yaptığı gibi, gaspçıların çaldıkları verileri silme sözü vermesi gibi başka herhangi bir nedenle asla fidye ödememeleri konusunda çağrıda bulunmaya devam ediyor. Bir mağdurun elinde bu sözün tutulduğuna dair hiçbir kanıt olmayacak ve uzmanlar böyle bir sözün yerine getirildiğine dair hiçbir kanıt bulunmadığını söylüyor.
Fidye yazılımı müdahale şirketi Coveware’in CEO’su Bill Siegel, “Bunu denetleyemezsiniz; tehdit aktörleri verileri siliyor. Bilginin zaten satılıp satılmadığını veya alışveriş yapılıp yapılmadığını görmek için her siber suç forumunun her köşesine bakamazsınız.” Bilgi Güvenliği Medya Grubu’na söyledi (bkz: Fidye Realpolitik: Veri Silinmesi İçin Ödeme Yapmak Enayiler İçindir).
“Tehdit aktörünün daha sonra geri gelip örgüte yeniden şantaj yapıp yapmayacağını söylemenin bir yolu yok ve gördüğümüz birçok durumda bunun gerçekleştiğini görüyoruz” dedi.