Saygıdeğer Las Vegas kumarhanesi Ceasars Palace’ın işletmecisi Ceasars Entertainment, yakın zamanda gerçekleşen bir fidye yazılımı saldırısının ardından saldırganlarına önemli miktarda para ödediğini açıkladı; bu saldırı muhtemelen ALPHV kullanarak rakip MGM Resorts’u ihlal eden aynı tehdit aktörünün işiydi. /BlackCat fidye yazılımı.
ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) yapılan bir başvuruda Ceasars Entertainment, olaydan ilk olarak ağındaki şüpheli aktiviteyi tespit ettikten sonra haberdar olduğunu söyledi. 7 Eylül’de sonuçlanan müteakip soruşturma, kuruluşun dış kaynaklı bir BT destek tedarikçisine yönelik bir sosyal mühendislik saldırısı yoluyla ihlal edildiğini ortaya çıkardı.
Müşteriye dönük operasyonlar, oteller, çevrimiçi ve mobil oyun hizmetleri etkilenmedi ancak Ceasars Entertainment, saldırganın binlerce misafirin ehliyet ve sosyal güvenlik numaraları da dahil olmak üzere sadakat programı veritabanının bir kopyasını çalabildiğini tespit etti. Şu anda herhangi bir finansal verinin çalındığına dair bir kanıt olmamasına rağmen kumarbazlar. Mağdurlara bilgi verme süreci devam ediyor.
Ceasars Entertainment, saldırganın talep ettiği fidyenin en azından bir kısmını müzakere ettiğini ve ödediğini güçlü bir şekilde ima eden bir açıklama yaptı.
Açıklamada şu ifadelere yer verildi: “Çalınan verilerin yetkisiz aktörler tarafından silinmesini sağlamak için gerekli adımları attık ancak bu sonucu garanti edemiyoruz. İnterneti izliyoruz ve verilerin daha fazla paylaşıldığına, yayınlandığına veya başka bir şekilde kötüye kullanıldığına dair herhangi bir kanıt görmedik.”
Raporlara göre, ödenen fidyenin 30 milyon dolardan 15 milyon dolara kadar düşebileceği tahmin ediliyor, ancak bu doğrulanmadı.
Bununla birlikte, kabul edilen tüm en iyi uygulamalara aykırı olan fidye ödemesinin açıkça kabul edilmesi, ABD hükümetinin Yabancı Varlıklar Kontrol Ofisi’nin (OFAC) üç yıl önce uyguladığı katı düzenleyici politikalar göz önüne alındığında, eğlence devi için sorun yaratabilir. veya fidye yazılımı ödemelerini kolaylaştırmak ABD yasalarına göre potansiyel yaptırım riski oluşturur.
Yüksek rol oynayan tehdit aktörü
Ceasars Entertainment, kendisine şantaj yapan grubun herhangi bir ayrıntısını açıklamadı ancak MGM Resorts’taki komşularını etkileyen neredeyse eş zamanlı olay ve her iki olayın da sosyal mühendislik yoluyla başlamış gibi görünmesi göz önüne alındığında, saldırının büyük ölçüde bir terör saldırısıyla bağlantılı olduğu düşünülüyor. ALPHV/BlackCat dolabını kullanarak Google Cloud’un Mandiant’ı tarafından UNC3944 olarak takip edilen tehdit aktörü.
0ktapus, Dağınık Örümcek ve Dağınık Domuz olarak da bilinen UNC3944, kimlik ve erişim yönetimi (IAM) uzmanı Okta müşterilerinin markaya duyduğu güveni istismar eden cesur bir dizi sosyal mühendislik saldırısıyla 2022’de adından söz ettirdi.
Okta’nın MGM Resorts veya Ceasars Entertainment’taki olaylara karıştığını gösteren kesin bir kanıt bulunmadığını, ancak bu ayın başlarında müşterilerine yönelik yeni bir sosyal mühendislik saldırıları dalgası rapor edilmiş ve bu konuda henüz kanıtlanmamış bir iddiada bulunulduğunu unutmayın. MGM saldırısının arkasında olduklarını iddia edenler tarafından. Computer Weekly yorum almak için Okta ile iletişime geçti.
Başarılı UNC3944 çetesi, telefon tabanlı sosyal mühendislik ve SMS kimlik avı (smishing) saldırıları gerçekleştirmeye başladı, ancak Mandiant’ın en son istihbaratına göre, 2023 yazında fidye yazılımı dağıtmaya yöneldi ve bu süreçte hedeflemesini teknoloji endüstrisinin ötesine genişletti. eğlence, konaklama, medya ve perakende sektörlerindeki firmaları kapsamak.
Ayrıca şantaj amacıyla hassas verileri çalmaya daha sıkı bir şekilde odaklanmıştır ve planlanan programda yapılan bir değişiklikle, aslında Rusya merkezli olmayabilir; bu, Batılı iş uygulamaları konusunda yetkin bir anlayışa sahip olduğunu gösterir ve pek çok üyenin anadili İngilizce olan kişilerdir.
Mandiant, grubun “son derece yüksek bir operasyonel tempoyla” çalıştığını, kritik sistemlere eriştiğini ve büyük hacimli verileri çok hızlı bir şekilde çaldığını söyledi. Bu faktör, güvenlik müdahale ekiplerini “boğmak” için tasarlanmış olabilir.
UNC3944, sosyal mühendislik yoluyla ilk erişimi elde ettikten sonra, kurbanlarına aynı coğrafi bölgeden erişmek için ticari konut proxy hizmetlerinden yararlanıyor; bu, başka yerlerden gelen şüpheli trafiği gözetleyen izleme araçlarını ve uzaktan erişim araçları dahil meşru yazılımları kandırmaya çalışıyor.
Operatörleri ayrıca, ayrıcalıklarını yükseltmelerine ve kalıcılığı korumalarına yardımcı olabilecek bilgilerin kökünü kazımaya önemli miktarda kaynak ayırıyor ve bunu yapmak için genellikle şifre yönetimi araçlarını ve ayrıcalıklı erişim yönetimi (PAM) sistemlerini hedef alıyor.
Saldırıları başlatmak için kurban ortamlarında yönetilmeyen sanal makineler (VM’ler) oluşturulduğu sıklıkla gözlemlenmiştir; bazı durumlarda bu VM’ler kurbanların bulut ortamlarında oluşturulur ve internetten erişilebilirdir.
Mandiant araştırmacılar
Bir fidye yazılımı dolabını devreye alma zamanı geldiğinde UNC3944, iş açısından kritik VM’leri ve diğer sistemleri mümkün olduğunca fazla acıya neden olacak şekilde hedeflemeyi sever ve güvenliği ihlal edilmiş sistemlere tehdit edici notlar bırakarak, yöneticileri kısa mesaj ve e-postalarla bombardımana tutarak baskıyı artırır. Olaylara müdahale için kullanılan dahili iletişim kanallarına sızma.
Mandiant’ın araştırmacıları, “UNC3944, para kazanma stratejilerini başarılı bir şekilde çeşitlendirmek için becerilerini ve taktiklerini genişletmeye devam eden, gelişen bir tehdittir” dedi.
“Bu tehdit aktörlerinin zaman içinde ticari becerilerini geliştirmeye devam edeceklerini ve operasyonlarının etkinliğini artırmak için yer altı topluluklarından yararlanabileceklerini bekliyoruz.
“UNC3944’ün ilk başarıları muhtemelen onu TTP’lerini fidye yazılımı ve gasp da dahil olmak üzere daha yıkıcı ve kârlı saldırılara genişletme konusunda cesaretlendirdi. Bu tehdit aktörlerinin gelecekte karlarını en üst düzeye çıkarmak için diğer fidye yazılımı markalarını kullanması ve/veya ek para kazanma stratejileri dahil etmesi muhtemeldir.
“Aktörler yeni ortaklar belirledikçe ve farklı topluluklar arasında geçiş yaptıkça, UNC3944 ile ilgili izinsiz girişlerin çeşitli araçları, teknikleri ve para kazanma taktiklerini içermeye devam edeceğini tahmin ediyoruz” diye eklediler.