MGM Resorts, Saldırının Ardından Otellerin ‘Normal Olarak Çalıştığını’ Söyledi


Dolandırıcılık Yönetimi ve Siber Suçlar, Fidye Yazılımı

Ancak Dijital Oda Anahtarları Hala Kullanılamıyor; Slot Makinelerinde ‘Aralıklı Sorunlar’ Var

Mathew J. Schwartz (euroinfosec) •
22 Eylül 2023

MGM Resorts, Saldırının Ardından Otellerin 'Normal Olarak Çalıştığını' Söyledi
Oxon Hill, Maryland’deki MGM National Harbor Oteli ve Kumarhanesi (Resim: Shutterstock)

MGM Resorts International, fidye yazılımı kullanan saldırganların ay ortası saldırısının ardından otel ve kumarhanelerinde normale döndüğünü ilan ediyor. Buna rağmen şirket BT altyapısını yeniden inşa etmeye çalışırken çok sayıda sistem çevrimdışı kalıyor.

Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma

Las Vegas merkezli şirket Çarşamba günü yaptığı açıklamada, görünüşe göre şirketin hisselerinin saldırıdan bu yana düşmesine neden olan yatırımcıları sakinleştirmeyi amaçladığını belirterek, “Bütün otellerimiz ve kumarhanelerimiz normal şekilde çalışıyor” dedi (bkz: Araştırmacılar, Büyük MGM Tesislerindeki Kesintinin Fidye Yazılımlarına Bağlı Olduğunu Söyledi).

Şirket, bazı kumar makineleri de dahil olmak üzere “aralıklı sorunların” devam ettiğini, ayrıca çevrimiçi otel rezervasyonlarını kabul edemediklerini veya dijital anahtar kartları veremediklerini, bunun da bunun yerine fiziksel oda anahtarları vermeye yol açtığını doğruladı.

“Slot makinesi bilet giriş/çıkış sistemlerimiz yedeklendi ve çalışıyor ve kumarhane kasiyerlerimiz ve slot misafir hizmetleri temsilcilerimiz, aralıklı sorunlar yaşayabilen konuklara yardımcı olmaktan mutluluk duyacaktır” dedi. “Bireysel misafirlerin ihtiyaçlarını anında karşılarken siber güvenlik sorunumuzu çözmek için özenle çalışmaya devam ediyoruz.”

MGM Resorts, dünya çapında 31 kumarhane oteli işleten dünyanın en büyük kumarhane operatörlerinden biridir. Şirketin Las Vegas’taki otelleri arasında Aria, Bellagio, Excalibur, Luxor, Mandalay Bay, MGM Grand, Mirage ve New York-New York bulunmaktadır. Şirket ayrıca Çin’in yanı sıra Maryland, Michigan, Mississippi, New Jersey, New York ve Ohio’da da kumarhane otelleri işletiyor.

Perşembe günü, Las Vegas Review-Journal, MGM Resorts çalışanlarının ayrıntılı raporlarını yayınladı. Çalışma programlarının hazırlanmasına yönelik sistemler de dahil olmak üzere birçok “sistemin hâlâ düzgün çalışmadığını” ve “herhangi bir şekilde tatil yapmanın mümkün olmadığını” söylediler.

MGM Resorts, ilk olarak 11 Eylül’de, önceki gün başlayan belirtilmemiş bir “siber güvenlik sorunu” nedeniyle çok sayıda otel ve kumarhane sisteminin çevrimdışı olduğu konusunda uyardı; bu durum, harici siber güvenlik uzmanları tarafından desteklenen yanıt olarak bazı sistemleri proaktif olarak çevrimdışına almasına yol açtı.

Şirketin hisseleri Perşembe günü 11 Eylül’den bu yana %12,5 düşüşle 37,88 dolardan kapandı.

Alphv Kredi Talep Ediyor

BlackCat olarak da bilinen, Rusça konuşan Alphv fidye yazılımı grubu, MGM Resorts’a saldırarak, grubun bir yardım masası çalışanını kandırmak için yaklaşık 10 dakika süren bir sosyal mühendislik saldırısı kullandığını ve ardından 8 Eylül’de bu saldırıyı gerçekleştirdiğini söyledi. MGM Resorts’un Okta kimlik sunucularına ve “Azure kiracısına” yönetici düzeyinde erişim elde etti. Saldırganlar, bu izinsiz girişin MGM Resorts’un ağının bazı kısımlarını proaktif olarak devre dışı bırakmasına yol açtığını iddia etti.

Alphv, MGM Resorts’tan fidye talebinde bulunduğunu ancak şirketin yanıt vermediğini söyledi. Daha sonra fidye yazılımı grubu, “Ortamlarındaki 100’den fazla ESXi hipervizörüne karşı fidye yazılımı saldırılarını başarıyla başlattık” dedi.

Saldırganlar, Alphv’nin Tor tabanlı veri sızıntısı sitesi aracılığıyla şirketin adını duyurmaya ve utandırmaya çalışmak da dahil olmak üzere, 2022 yıllık gelirinin 13,1 milyar dolar olduğunu bildiren MGM Resorts’u gasp etme girişimlerine devam etti. Saldırganlar çalındığı iddia edilen herhangi bir veriyi henüz sızdırmadı.

MGM Resorts çok sayıda yorum talebine yanıt vermedi.

Alphv yakın zamanda Caesars Entertainment’a da saldırdı. Kumarhane ve otel devi bu saldırının ne zaman gerçekleştiğini söylemese de, 7 Eylül’de saldırganların verileri çaldığını keşfettiğini söyledi. The Wall Street Journal’ın haberine göre Caesars, saldırganlardan 30 milyon dolarlık fidye talebinde bulundu ve bu fidyenin yaklaşık yarısını onlara ödedi. Caesars, ödemenin şantajcıların çaldıkları verileri sileceği vaadi için yapıldığını söyledi (bkz: Fidye Realpolitik: Veri Silinmesi İçin Ödeme Yapmak Enayiler İçindir).

Eyalet merkezli kumarhaneleri düzenleyen Nevada Oyun Komisyonu’nun bir üyesi olan Brian Krolicki, Caesars ve MGM Resorts’a yönelik fidye yazılımı saldırılarının ayrıntılarının kamuya açıklanması çağrısında bulundu. Bu tür saldırganların nasıl daha iyi önlenebileceği, saldırının ayrıntılarının komisyona nasıl bildirildiği ve komisyonun politikalarının nasıl gözden geçirilmesi gerektiği de dahil olmak üzere, “Hepimizin ne olduğunu gerçekten iyi bir şekilde anlaması gerekir.” Kumar Komisyonu’nun Salı günü yaptığı toplantıda, bunun rafine edilmesi gerektiğini söyledi.

“Şu anda öncelik, toparlanmak ve müşterilerin bir bütün halinde olduğundan, sistemlerin güvende olduğundan emin olmak” dedi ve bu yapıldıktan sonra bir brifing almak istediğini – tercihen kamuya açık kayıtlara geçmek istediğini – ekledi. “olup bitenler hakkında.”

Okta Tekrarlanan Saldırıları İşaretler

Kimlik yönetimi şirketi Okta’nın CSO’su David Bradbury, bu haftanın başlarında Reuters’e, Okta’nın beş müşterisinin, Alphv üyesi olduğundan şüphelenilen bir grubun güvenlik endüstrisi kod adı olan Scattered Spider’ın (diğer adıyla UNC3944 veya Muddled Libra) kurbanı olduğunu söyledi. Olaylarda saldırganlar, bir yardım masası çalışanını kandırarak çalışan hesabına çift erişim sağladı ve Okta çok faktörlü kimlik doğrulama kontrollerini atlamalarına olanak sağladı.

Bradbury, Reuters’e verdiği demeçte, Okta’nın beş saldırıya ilişkin soruşturmalara yardımcı olduğunu söyleyerek, “Geçtiğimiz altı ila 12 ay boyunca bu tür saldırılarda sürekli bir artış gördük” dedi. Kurbanların isimlerini vermese de üçünün imalat, perakende ve teknoloji alanında olduğunu söyledi. Diğer ikisi Caesars ve MGM Resorts gibi görünüyor.

Bu saldırılardaki artış, Okta’nın 1 Eylül’de müşterilere bir güvenlik uyarısı yayınlamasına yol açtı ve şu uyarıda bulundu: “Son haftalarda ABD merkezli çok sayıda Okta müşterisi, BT hizmet masası personeline yönelik tutarlı bir sosyal mühendislik saldırıları modeli rapor etti. arayanın stratejisi, hizmet masası personelini yüksek ayrıcalıklı kullanıcılar tarafından kaydedilen tüm çok faktörlü kimlik doğrulama faktörlerini sıfırlamaya ikna etmekti.”

Okta, saldırganlar tarafından kullanılan taktiklerin “önlenebilir olduğunu ve savunmacılar için çeşitli tespit fırsatları sunduğunu” söyledi ve müşteriler için ayrıntılı savunma önerileri yayınladı. Bunlar arasında, diğer adımların yanı sıra “yardım masası kimlik doğrulama süreçlerinin” güçlendirilmesi, “kimlik avına karşı dirençli kimlik doğrulamanın zorunlu kılınması” ve süper yönetici rollerinin kullanımının sınırlandırılması yer alıyor.

Palo Alto Networks’teki Unit 42 tehdit istihbarat ekibinin yakın zamanda bildirdiğine göre, “Karışık Libra’nın taktikleri akıcı olabilir ve hedef ortama hızla uyum sağlayabilir.” “Bir şirketin BT yardım destek masasını hedef alarak sosyal mühendisliği temel çalışma yöntemi olarak kullanmaya devam ediyorlar.”

Araştırmacılar, firmanın araştırdığı başarılı bir saldırıda, saldırganların hızlı bir şekilde hareket ettiğini ve yalnızca birkaç dakika içinde “bir hesap şifresini başarıyla değiştirdiğini ve daha sonra kurbanın ağlarına erişim sağlamak için MFA’sını sıfırladığını” tespit ettiğini söyledi.

MGM Linux Yöneticisi Arıyor

Caesars’ın aksine MGM Resorts saldırganlara fidye ödememiş, bunun yerine etkilenen BT altyapısını yeniden inşa etmeyi seçmiş gibi görünüyor.

Teksas merkezli yazılım geliştirme firması Arganteal Perşembe günü, Las Vegas merkezli Red Hat Linux sistem yöneticisi olarak saat başına 100 dolar karşılığında sözleşme esasına göre çalışacak, anında işe alınacak – artık aktif olmayan – bir iş ilanı yayınladı. İş listesinde “Bu rol, MGM Grand Casino’nun son fidye yazılımı saldırısından sonra yeni net BT ortamını oluşturmasına yardımcı olacak” yazıyor.

İş listesinde “Adaylar, yeni BT ortamı tamamen ayağa kalkana kadar her gün çalışmaya istekli olmalıdır” ifadesi yer alıyor ve bunun yüklenicilerin “haftanın yedi günü, günde 10 saat” hazır bulunmalarının beklendiği anlamına geldiği belirtiliyor; uzaktan çalışma yok izin verilmiş. Projenin 15 Ekim’e kadar sürmesi planlanıyor.





Source link