MGM Resorts’a yönelik şüpheli bir siber saldırı saldırısıyla bağlantılı olan tehdit aktörleri, saldırılardan önce şirketin Okta ortamına eriştiklerini iddia etti.
AlphV adlı grup, MGM Resorts’un, bilgisayar korsanlarının savunmasız şifreleri bulmak için Okta Agent sunucularında gizlendiğini fark ettikten sonra Okta sunucularını kapattığını söyledi. Brett Callow tarafından gönderilen iddialarEmsisoft’ta tehdit analisti.
Tehdit aktörleri ayrıca şirketin Azure kiracısında süper yönetici ayrıcalıklarına sahip olduklarını da iddia etti.
AlphV/BlackCat olarak da bilinen AlphV’nin, Las Vegas’taki rakip otel/oyun şirketi Caesars Entertainment’a düzenlenen saldırıda şüphelenilen Scattered Spider adlı bir tehdit grubuyla belirli bir kapasitede çalıştığından şüpheleniliyor.
Caesars Entertainment, Perşembe günü Menkul Kıymetler ve Borsa Komisyonu’na sunduğu bir dosyada yakın zamanda gerçekleşen bir sosyal mühendislik saldırısını açıkladı. Başvuruda, bir BT destek sağlayıcısına yönelik saldırının Caesars Entertainment’ın müşteri sadakati veritabanından müşteri verilerinin çalınmasına yol açtığı belirtildi.
Sadece iki hafta önce Okta bir saldırı modelini ortaya çıkardı Bilgisayar korsanlarının müşteri kuruluşlarına ayrıcalıklı erişim sağlamak için sosyal mühendislik taktiklerini kullandığı bir olay. Okta, saldırıları SEC’e yaptığı düzenleyici dosyada açıkladı.
Okta, MGM’nin saldırıya uğradığını doğruladı ve saldırıyı hafifletme çabalarını desteklemek için onlarla birlikte çalıştığını söyledi.
Bir Okta sözcüsü e-postayla yaptığı açıklamada, “MGM’ye yönelik bir siber saldırının farkındayız” dedi. “Okta sistemlerinde herhangi bir uzlaşma veya ihlal olmamasına ve Okta hizmeti tamamen çalışır durumda ve güvenli kalmasına rağmen, MGM’nin normal işleyişine dönmesine yardımcı olmak için elimizden gelen her türlü desteği vermeye hazırız.”
Gibi Siber Güvenlik Div tarafından bildirildie, sosyal mühendislik saldırıları dört ABD kuruluşuna karşı kullanıldı.
Okta’nın açıklamalarına göre çok sayıda ABD şirketi, BT hizmet masalarını arayarak onları yüksek ayrıcalıklı kullanıcıların MFA faktörlerini sıfırlamaya ikna eden bilgisayar korsanları tarafından kandırıldı.
Okta, müşteri verilerini korumak için müşterilerini son blogundaki hafifletme önerilerini okumaya teşvik ediyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, saldırıya yanıt vermek için MGM ile birlikte çalıştığını doğruladı.
Bir sözcü e-posta yoluyla, “CISA, son siber olayların etkilerini anlamak için MGM tatil köyleriyle temas halindedir” dedi. “Ayrıca kuruluşun ihtiyaç duyması veya talep etmesi durumunda gerekli her türlü yardımı da sunuyoruz.”
Mandiant’tan araştırmacılar, Perşembe günü yayınlanan bir blogdaUNC3944 veya Oktapus olarak da bilinen mali motivasyonlu tehdit grubu Scattered Spider’ın, şifreleri sıfırlamak veya çok faktörlü kimlik doğrulamayı atlamak amacıyla yardım masalarını hedef almak için SMS kimlik avı tekniklerini kullandığı biliniyor.
Mandiant araştırmacıları Cybersecurity Dive’a AlphV’nin bir hizmet modeli olarak fidye yazılımı çalıştırdığını ve Scattered Spider’ın da aynı fidye yazılımını kullandığını gördüklerini söyledi.
Mandiant araştırmacıları e-posta yoluyla şunları söyledi: “Bu ortaklıklarda, fidye yazılımının operatörleri genellikle kurbanların kolay yönetimine olanak tanıyan altyapı ve gasp desteği (örn. DDoS) gibi diğer ilgili destek hizmetleriyle birlikte dağıtılmak üzere bağlı kuruluşlarına yapılar sağlayacak.”