Kimlik ve erişim yönetimi (IAM) uzmanı Okta’nın bilgi güvenliği şefi (CISO) David Bradbury, Las Vegas kumarhane operatörleri MGM Resorts ve Caesars Entertainment’ı hedef alan iki siber saldırının şirketin teknolojisini bir erişim vektörü olarak kullandığını doğruladı. Eş zamanlı siber saldırıların nasıl başladığına dair ipucu.
Haber ajansıyla yeni yayınlanan bir röportajda ReutersBradbury, MGM Resorts ve Caesars Entertainment’ın, UNC3944 olarak bilinen, Scattered Spider, Scatter Swine, 0ktapus olarak bilinen ve muhtemelen ALPHV/BlackCat fidye yazılımı operasyonunun bağlı kuruluşu olarak hareket eden tehdit aktörünün kurbanı olan beş Okta müşterisi arasında yer aldığını açıkladı. son birkaç hafta.
Okta’nın kolluk kuvvetleriyle çalıştığını ve resmi soruşturmalarda işbirliği yaptığını söyledi.
Okta, bir yılı aşkın bir süredir UNC3944’ün sürekli ilgisinin odak noktası olmuştur. Siber suç operasyonu, 2022’de teknoloji sektörüne yönelik bir dizi saldırıda markasını güçlendirdi ve yalnızca iki hafta önce, müşterilerini hedef alan yeni bir sosyal mühendislik saldırıları dalgasının olduğu konusunda uyarıda bulundu.
Bradbury söyledi Reuters Geçtiğimiz yıl Okta müşterilerine yönelik sosyal mühendislik saldırılarında “artış” görmüş ve kurbanların BT yardım masalarını kandırıp onlara erişim izni veren tutarlı bir sosyal mühendislik saldırıları modelinden bahsetmişti.
Bradbury diğer kurbanların kimliklerini açıklamadı. Bununla birlikte, Londra merkezli güvenlik danışmanlığı şirketi DynaRisk’teki araştırmacılar, UNC3944’ün veya diğerlerinin 500’den fazla başka şirketle bağlantılı çalıntı Okta kimlik bilgilerine sahip olabileceğini öne süren, verilerinin taranmasına dayanan bilgileri daha önce yayınladı.
DynaRisk, bu kuruluşların arasında teknoloji firması Adobe, içecek devi Diageo ve oyun geliştiricisi Epic Games’in yer aldığını iddia etti.
Fidye yazılımı çetesi: ‘Bunu yaptık ve işte nasıl’
Okta’nın itirafı, 14 Eylül’de ALPHV/BlackCat fidye yazılımı operasyonu tarafından yapılan açıklamanın ardından ortaya çıkan spekülasyonları gidermeye yardımcı oluyor.
Açıklamada çete, MGM Resorts’un BT ekibinin, çetenin Okta sunucularını tehlikeye attığını tespit ettikten sonra sistemlerini kapattığını ve kendi deyimiyle “etki alanı denetleyici karma dökümlerinden şifreleri kırılamayan kişilerin şifrelerini kokladığını” söyledi. ”.
Bunun, MGM Resorts’un Okta kiracısına erişiminin engellenmesiyle sonuçlandığı ve saldırganların süper yönetici ayrıcalıklarını (tam olarak Okta’nın uyardığı senaryo) ve MGM Resorts’un Microsoft Azure kiracısının genel yönetici haklarını elinde tutabildiği iddia edildi.
Ekip, BT ekibinin, MGM’nin Okta kiracısına eriştiğini keşfettikten sonra onu tahliye etmeye çalıştığını ancak “işlerin planlandığı gibi gitmediğini” söyledi.
Kısa bir süre sonra, 11 Eylül’de çete, kurbanla iletişime geçmeye çalıştıktan sonra 100’den fazla ESXi hipervizörüne fidye yazılımı saldırıları başlatabildiğini ancak başarısız olduğunu söyledi.
Bulut olaylarına müdahale uzmanı Mitiga’nın kurucu ortağı ve baş işletme sorumlusu ve eski İsrailli siber istihbarat uzmanı Ariel Parnes, çetenin açıklamalarının mutlaka doğru olarak kabul edilmemesi gerektiği konusunda uyardı.
“MGM’ye saldıran kişinin yayınladığı bilgilerin doğruluğu belirsizliğini koruyor. Bu ifşaatın MGM üzerinde ek baskı oluşturmayı amaçlayan hesaplı bir psikolojik kampanyanın parçası olması tamamen mümkündür. Bu tür taktikler şüphe uyandırmak, iç anlaşmazlık yaratmak ve saldırganın gündemini ilerletmek için kullanılabilir, bu da bu tür iddialara dikkatli ve şüpheci yaklaşmayı zorunlu hale getirir” dedi Parnes.
Açıklamada gerçek hikaye anlatılmasa bile saldırganların şirket içi veri merkezleri, bulut ve SaaS ile hibrit ortamların doğasında var olan karmaşıklıktan nasıl yararlanabileceğine ışık tutuyor. [software as a service]”E-postayla gönderilen yorumlarda Computer Weekly’ye söyledi.
Sophos X-Ops ekibinin yöneticisi Christopher Budd şunları söyledi: Okyanusun Onbiri siber çağın.”
Budd, tehdit aktörlerinin “oyunlarını bilgi savaşı alanına genişlettiklerinin” ve genel anlatıyı kontrol etmeye çalıştıklarının açık olduğunu söyledi. Ancak bu riskin, olaya müdahale ekiplerinin etkili bir şekilde çalışmasını zorlaştıracağı konusunda uyardı.
“Saldırıyı ilişkilendirmek zor ve riskli. Saldırganların ‘nasıl’ sorusu yerine ‘kim’ sorusuna fazla odaklanmak suçlulara gerçekten yardımcı olabilir ve savunucuların dikkatini tespit ve müdahale operasyonlarının kurulması ve tehdit faaliyet kümelerinin yakından izlenmesi gibi gerçekten önemli olan şeylerden uzaklaştırabilir ve dağıtacaktır. dedi Budd.
“Bu noktada tüm kumarhaneler mümkün olan en yüksek savunma duruşuna geçmeli, sistemlerinin ve ortamının bütünlüğünü doğrulamak için aktif önlemler almalı ve olay müdahale süreçlerini (etkinleştirmiyorsa) gözden geçirmeli. Birden fazla kumarhaneye saldırı düzenlendi ve daha fazlasını görmemiz mümkün. Banka soygununun neden yapıldığıyla ilgili alıntıda olduğu gibi, ‘Paranın olduğu yer orası’ ve bu burada da geçerli” dedi.
MGM Resorts tekrar çevrimiçi
Bu yazının yazıldığı sırada MGM Resorts halka açık web sitesini ayakta tutmayı başardı. Web sitesinde yayınlanan açıklamada şu ifadelere yer verildi: “MGM Resorts yakın zamanda şirketin bazı sistemlerini etkileyen bir siber güvenlik sorunu tespit etti. Sorunu tespit ettikten hemen sonra, önde gelen harici siber güvenlik uzmanlarının yardımıyla hızlı bir şekilde bir soruşturma başlattık. Ayrıca kolluk kuvvetlerine bilgi verdik ve sistemlerimizi ve verilerimizi korumak için belirli sistemlerin kapatılması da dahil olmak üzere derhal harekete geçtik.
“Sorun şirketin bazı sistemlerini etkilese de, sunduğumuz mülklerin büyük çoğunluğu şu anda çalışır durumda ve her gün on binlerce konuğu ağırlamaya devam ediyoruz. Sizi ağırlamaya hazırız.”
Kuruluş, mobil check-in ve dijital oda anahtarı hizmetleri çevrimdışı kalmasına rağmen, rezervasyonları kabul edip yerine getiriyor ve kredi kartı işlemlerini normal şekilde gerçekleştiriyor. Ayrıca 24 Eylül Pazar gününe kadar rezervasyon yaptıran misafirlerden iptal ücreti alınmayacaktır.
Geçen hafta bildirildiği üzere Caesars Entertainment, önemli bir fidye ödeyerek daha az düzeyde aksama yaşamış gibi görünüyor.