Bir fidye yazılımı grubunun, MGM Resorts saldırısının sorumluları olduğuna dair iddialarına göz atıyoruz.
MGM Resorts’a yapılan son saldırı, sebebin ne olduğuna ilişkin birçok spekülasyona yol açtı. Bazı kişiler suçlunun fidye yazılımı olduğunu iddia etti. BlackCat/ALPHV fidye yazılımı grubunun bir bağlı kuruluşunun saldırıdan ve ardından gelen kesintiden sorumlu olduğu söylendiğinden, onay artık yaklaşıyor.
Açıklama oldukça uzun, MGM Resorts hakkında birkaç inceleme içeriyor ve grubun saldırıyla ilgili olarak güvenlik sağlayıcıları ve diğerleri tarafından yapılan yanlış beyanları düzeltmeyi amaçlıyor.
O başlıyor:
MGM Resorts International’dan açıklama: Rekor kırılıyor
14.09.2023 19:46:49
MGM Resorts International, “MGM” ile iletişime geçmek için birçok girişimde bulunduk. Bildirildiği üzere MGM bize yanıt olarak ağındaki bilgisayarları kapattı. Rekoru düzeltmeyi amaçlıyoruz.
Altyapıları dahili ekipleri tarafından ilk kez devre dışı bırakılmadan önce hiçbir fidye yazılımı kullanılmadı.
MGM, Okta Agent sunucularında gizlendiğimizi ve şifreleri etki alanı denetleyici karma dökümlerinden kırılamayan kişilerin şifrelerini kokladığımızı öğrendikten sonra Okta Sync sunucularının her birini kapatma yönünde aceleci bir karar aldı. Bunun sonucunda Okta’ları tamamen kilitlendi. Bu arada, Okta’ları için süper yönetici ayrıcalıklarına ve Azure kiracıları için Genel Yönetici ayrıcalıklarına sahip olmaya devam ettik. Okta ortamlarına erişimimizin olduğunu öğrendikten sonra bizi tahliye etmek için girişimde bulundular ancak işler planlandığı gibi gitmedi.
Pazar gecesi MGM, yetersiz idari yetenekler ve zayıf olay müdahale taktikleri nedeniyle Okta (MGMResorts.okta.com) ortamına tüm erişimi engelleyen koşullu kısıtlamalar uyguladı. Ağlarına Cuma gününden beri sızılıyor. Ağ mühendislerinin ağın nasıl çalıştığını anlamaması nedeniyle ağ erişimi Cumartesi günü sorunluydu. Daha sonra Pazar günü altyapılarının önemli görünen bileşenlerini “çevrimdışına alma” kararı aldılar.
Pek çok izinsiz girişte olduğu gibi bu da bir sosyal mühendislik saldırısıyla başlıyor. Vardı sosyal medyadaki iddialar Bunun, LinkedIn’de bir çalışan bulunarak ve muhtemelen bir şifre sıfırlama girişimi olacak şekilde yardım masasını arayarak yapıldığını söyledi. Ancak ayrıntılar açısından ifade oldukça hafiftir:
Şu anda PII bilgilerinin sızdırılıp sızdırılmadığını açıklayamıyoruz. MGM ile bir anlaşmaya varamazsak ve sızdırılan verilerde PII bilgileri bulunduğunu tespit edebilirsek, Troy Hunt’ı HaveIBeenPwned.com’dan bilgilendirmek için ilk adımları atacağız. Eğer isterse bunu sorumlu bir şekilde ifşa etmekte özgürdür.
ABD ve İngiltere’den gençlerin bu organizasyona girdiğine dair söylentiler hala sadece söylentiler. Bu iddiayı sürdürmeye devam eden bu görünüşte saygın siber güvenlik firmalarının, bunu destekleyecek sağlam kanıtlar sunmaya başlamasını bekliyoruz. Oyuncuların kimlikleri konusunda çok bilgili oldukları için başlıyoruz.
Kapatma ve temizleme operasyonuna rağmen saldırganların MGM Resorts ağına hâlâ erişebildiğine dair iddialar da var:
ALPHV fidye yazılımı grubu bu noktaya kadar herhangi bir saldırının sorumluluğunu özel veya kamuya açık olarak üstlenmedi. Bu açıklamadan önce MGM Resorts International’dan mutsuz çalışanlar veya dışarıdan siber güvenlik uzmanları tarafından söylentiler sızdırılmıştı. Haber kaynakları, doğrulanmamış açıklamalara dayanarak, saldırının sorumluluğunu bizden önce üstlendiğimizi iddia etme kararı aldı.
MGM’nin bazı altyapısına hâlâ erişmeye devam ediyoruz. Anlaşmaya varılamazsa ek saldırılar gerçekleştireceğiz. Bizimle nerede iletişime geçeceklerini bildiklerini açıkça gösterdikleri için MGM’nin bir çift oluşturmasını ve bize ulaşmasını beklemeye devam ediyoruz.
Malwarebytes Labs Blogunda BlackCat/ALPHV hakkında birçok kez yazdık. Büyük kozmetik firmalarından sızdırılan hastane fotoğraflarına, satış noktalarındaki kesintilerden video oyunu yayıncılarına kadar yüksek tanıtım içerikli yayından kaldırma işlemleriyle bunların yelpazesi oldukça geniştir.
Bu özel durumda Bleeping Computer, kaosun arkasında olduğu iddia edilen grubu “Dağınık Örümcek” olarak tanımlıyor. Bu özel grup, kurumsal ağlara sızmak için kullanılan sosyal mühendislik taktiklerine meraklıdır. Yalnızca parola sıfırlama kimliğine bürünme değil, aynı zamanda kimlik avı, SIM değiştirme (birinin cep telefonu numarasını ele geçirme) ve hatta MFA yorgunluğunu da kullanıyorlar; burada göreviniz bir çalışanı o kadar çok uyarıyla rahatsız etmek ki sonunda “evet” diyecekler.
O zaman ilginç bir gelişme. Öyle bile olsa, ortalıkta dolaşan bu kadar çok spekülasyon ve iddia/karşı iddia varken, bu son gelişmelere karşı açık fikirli olmak muhtemelen en iyisi. Gerçek öyle ya da böyle ortaya çıkacak, ancak en büyük endişe, MGM Resort tesislerinden yararlananların olası veri hırsızlığı ve sızıntısı olmaya devam edecek.
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelle. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin; Fidye yazılımı sunmak için kullanılan açıkları ve kötü amaçlı yazılımları tespit edebilen uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdur. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE