MGM Resorts ve Caesars Entertainment’a yönelik sosyal mühendislik saldırıları, tehdit aktörleriyle bağlantılı önceki faaliyetler ve kullandıkları güvenlik açıkları hakkında soruları gündeme getiriyor.
Güvenlik araştırmacıları arasında tehdit grubunun MGM’ye yapılan saldırıyı üstlenen ve BlackCat olarak da bilinen AlphV, Muddled Libra ile çalışıyor.
Muddled Libra, 2022’nin ortalarına kadar uzanan ve yüksek değerli kripto para birimi şirketlerine ve bireylere hizmet veren dış kaynak firmalarını hedef alan saldırılara yoğun bir şekilde dahil oldu. Palo Alto Ağ Birimi 42 dedi ki.
Scattered Spider, Scatter Swine ve Oktapus gibi çeşitli isimlerle bilinen tehdit grubunun büyük olasılıkla saldırılar için aynı araç setini kullanan birden fazla aktör.
Unit 42 bloguna göre grup, hedeflenen çalışanlara kimliklerini yeniden doğrulamaları veya hesap bilgilerini güncellemeleri gerektiğini iddia eden mesajlar gönderdi. Bilgisayar korsanları daha sonra, başlangıçta yakalanmaları durumunda sisteme yedek erişim sağlayan uzaktan izleme ve yönetim araçlarının birden fazla sürümünü yüklediler.
AlphV tehdit aktörü, bir gönderisinde MGM’nin, bilgisayar korsanlarının şirketin Okta ortamında gizlendiğini fark ettikten sonra sistemlerini kapattığını iddia etti. Okta, MGM’nin müşterilerinden biri olduğunu doğruladı ve son saldırılara yanıt vermek için şirketle çalışmaya hazır olduğunu söyledi.
Saldırı, büyük miktarda kişisel müşteri verisini işleyen konaklama ve oyun sektörlerine yönelik riski vurguluyor.
Merritt Maxim, başkan yardımcısı, araştırma direktörü, güvenlik ve güvenlik departmanı, “MGM ihlali, kuruluşların kendilerini bilgisayar korsanlarına karşı savunmak için kullandıkları tüm gelişmiş güvenlik kontrolleri ve teknolojilere rağmen, insan unsurunun saldırganların hedeflemeye devam ettiği savunmasız bir nokta olmaya devam ettiğini göstermeye devam ediyor” dedi. Forrester’da risk. “Sosyal mühendislik saldırıları yeni değil; saldırganlar, özellikle çok faktörlü kimlik doğrulama süreci olmak üzere sosyal mühendislik için karmaşıklığı artırdı ve sistemleri hedef aldı.”
Maxim’e göre bir kuruluşun BT altyapısı daha karmaşık hale geldikçe risk yalnızca şirketin çalışanları için değil, aynı zamanda dış iş ortakları için de geçerli.
Lapsus$ ihlali 2022’nin başlarında Okta Maxim, şirkete müşteri desteği sağlayan ve belirli sistemlere erişimi olan bir dış yüklenicinin uzlaşmasını içerdiğini söyledi.
Maxim, “Sosyal mühendislik saldırıları ortadan kalkmayacak ve savunulması zor olmaya devam edecek” dedi. “Okta gibi temel kimlik doğrulama hizmetleri sağlayan firmalar, bilgisayar korsanlarının hedefi olmaya devam edecek çünkü kimlik bilgilerini kontrol etmek/ele geçirmek, saldırganların verilere ve sistemlere erişme şeklidir.”