MGM Resorts siber saldırısının arkasında olduğundan şüphelenilen ALPHV fidye yazılımı grubu nihayet güvenlik olayıyla ilgili konuştu.
Başlangıçtaki varsayımların aksine, kumarhane ve tatil köyü sektörünün ünlü küresel güç merkezi MGM Resorts, başlangıçta siber saldırı sırasında fidye yazılımlarının kurbanı olmadı. Ancak daha sonra bunu yaptılar.
ALPHV, karanlık web platformunda fidye yazılımının, bilgisayar korsanlarının MGM grubuyla iletişim kurmaya çalıştığı belirli bir süre geçene kadar yayılmadığını belirterek açıklama yaptı.
MGM Resorts Siber Saldırısı: ALPHV Ransomware Grubunun Hesabı
Hakkında çok konuşulan MGM Resorts siber saldırısının, fidye yazılımı grubu tarafından Okta Sync sunucularına yetkisiz erişim ve yönetici ayrıcalıklarının edinilmesini içeren bir olay olduğu resmi olarak doğrulandı.
Kaliforniya merkezli bir BT hizmet yönetimi şirketi olan Okta, bu ihlalde merkezi bir rol oynuyor. Şirket, güvenli kullanıcı erişimi, kimlik doğrulama ve uygulamaların ve web sitelerinin yönetimini sağlamak için bulut tabanlı yazılım sağlar.
BlackCat fidye yazılımı grubu olarak da bilinen ALPHV, “MGM Resorts International’a ulaşmak için birçok girişimde bulunduk” dedi.
Ancak MGM Resorts yetkilileriyle görüşme çabaları karşılıksız kaldı. Bunun yerine şirket, sistemlerini kapatarak ağlarını korumayı tercih etti.
ALPHV ayrıca MGM Resorts’un tüm Okta Sync sunucularını kapatmak için hızlı harekete geçtiğini gözlemlediklerini de açıkladı. ALPHV, MGM Resorts’un BT ekibinin Okta Agents sunucularında harici varlıkların bulunduğunu tespit ettiğini açıkça ortaya koydu.
ALPHV, MGM Resorts fidye yazılımı saldırısının bir parçası olarak erişim sağlamak ve bir çalışanın hesap bilgileri aracılığıyla giriş yaptığı için fark edilmeden kalmak için şifreler arıyordu.
ALPHV, gönderisinde etki alanı denetleyici karma dökümlerinden şifreleri kırmaya çalışırken zorluklarla karşılaştığını kabul etti. Bu sonuçta Okta’nın tamamen kilitlenmesiyle sonuçlandı.
Bu süreçte ALPHV, Okta sistemi içerisinde süper yönetici ayrıcalıklarına başarıyla tam erişim elde ederek MGM Resorts siber saldırısının önünü açtıklarını vurguladı.
Bilgisayar korsanları, Azure kiracılarına Genel Yönetici ayrıcalıkları kazandırmakla da övündüler ve bu da MGM fidye yazılımı saldırısının devam etmesine yardımcı oldu.
MGM BT Ekibinin ALPHV Fidye Yazılımı Grubunu Kaldırma Mücadelesi
ALPHV ayrıca MGM Resorts siber güvenlik ekibinin onları tahliye etmeye çalıştığı durumu da detaylandırdı. “Onların Okta ortamına erişimimiz olduğunu öğrendikten sonra bizi tahliye etme girişiminde bulundular ancak işler planlandığı gibi gitmedi.”
ALPHV, “10 Eylül 2023 Pazar gecesi, MGM, yetersiz idari yetenekler ve zayıf olay müdahale taktik kitapları nedeniyle Okta (MGMResorts.okta.com) ortamına tüm erişimi engelleyen koşullu kısıtlamalar uyguladı” diye yazdı.
ALPHV, MGM Resorts siber saldırısının her adımında engellerle karşılaştı, ancak sistemlere erişmeyi başardılar ve karanlık web gönderisinde küresel kumarhane devinin güvenlik protokollerini uygulamada geciktiğine dikkat çekti.
ALPHV, MGM Resorts ağlarına Pazar gününden değil, 8 Eylül 2023 Cuma gününden itibaren sızıldığını ve bunun MGM Resorts hacklemesinin yedinci günü olduğunu iddia etti.
11 Eylül 2023’te MGM Resorts, Twitter/X hesabında yukarıdaki uyarıyı yayınlayarak yakın zamanda bir siber güvenlik sorunu tespit ettiğini kamuoyuna bildirdi.
ALPHV: MGM Resorts Bu Sorunu Daha İyi Halledebilirdi
Fidye yazılımı grubu, MGM Resorts’un ağ mühendislerinin cumartesi günü siber saldırıyı daha etkili bir şekilde yönetebileceklerini belirtti.
Pazar günü, ilk olaydan bir gün sonra ALPHV, MGM Resorts’a bir fidye yazılımı saldırısı gerçekleştirdi.
11 Eylül’de çevrelerindeki 100’den fazla ESXi hipervizörünü hedef aldılar. Bu arada, açıkça hareket eden ve sessiz kalan MGM yetkilileriyle iletişim kurmak için birkaç başarısız girişimde bulundular.
MGM Resorts Ağında Bilinmeyen Kullanıcı
ALPHV, MGM Resorts saldırısıyla ilgili sızıntı sitesindeki gönderilerinde belirtildiği gibi, fidye yazılımını dağıttıktan sadece birkaç saat sonra ‘MGM kurban sohbetinde’ bir kullanıcının göründüğünü kaydetti.
Ancak bu kullanıcı ALPHV’ye yanıt vermedi ve siber suç grubu tarafından gönderilen bağlantılara tıklamaktan kaçındı.
Bilgisayar korsanları kullanıcıya özel bağlantılar içeren e-postalar gönderdi. Bu noktada ALPHV, kullanıcının şirketten mi yoksa yetkisiz erişime sahip biri mi olduğundan emin olamadı.
ALPHV, MGM Resorts’taki diğer BT Personelinin sohbetleri okumasını engellemek istedi.
Bu, MGM Resorts’un sistemlerine erişen veya sistemleri izleyen birinin müzakereleri öğrendiğini ancak dikkatli olmak ve saldırıyı artırmamak için herhangi bir bağlantıya tıklamadığını gösteriyor.
MGM Resorts sistemlerinden sızdırılan tüm verileri indirme bağlantısı, 12 ve 13 Eylül tarihlerinde iki gün boyunca şirketin incelemesine aynı sohbet üzerinden erişilebilir bırakıldı.
Bilinmeyen kullanıcının geçmişi ve kimliği hakkında spekülasyon yapan ALPHV şu sonuca vardı: “Konuşmadaki kişi e-postadan değil, hipervizör notundan geldiği için, daha önce de belirtildiği gibi, izinlerinin olup olmadığını doğrulayamadık. Orası.”
Bu durumu çevreleyen belirsizlik, ALPHV’nin MGM Resorts’a yönelik siber saldırıyı bir hafta önce başlatmış olması durumunda üstlenmek için harcadığı zamanı açıklıyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.