Οι διακομιστές ESXi του MGM Resorts φέρονται να έχουν κρυπτογραφηθεί σε επίθεση ransomware
Μια θυγατρική της ομάδας ransomware BlackCat, γνωστή και ως APLHV, βρίσκεται πίσω από την επίθεση που διέκοψε τις λειτουργίες της
MGM Resorts
, αναγκάζοντας την εταιρεία να κλείσει τα συστήματα πληροφορικής.
Σε σημερινή δήλωση, η ομάδα ransomware BlackCat ισχυρίζεται ότι είχε διεισδύσει στην υποδομή της MGM από την Παρασκευή και κρυπτογράφηση περισσότερων από 100 hypervisors ESXi μετά την κατάργηση της εσωτερικής υποδομής από την εταιρεία.
Η συμμορία λέει ότι διείσδυσε δεδομένα από το δίκτυο και διατήρησε πρόσβαση σε ορισμένες από τις υποδομές της MGM, απειλώντας να αναπτύξει νέες επιθέσεις εκτός εάν επιτευχθεί συμφωνία για πληρωμή λύτρων.
Αναπτύχθηκε ransomware, κλάπηκαν δεδομένα MGM
Ο διαχειριστής του BlackCat/
ALPHV
είπε στο BleepingComputer χθες ότι μια από τις “διαφημίσεις” τους (θυγατρική) πραγματοποίησε την επίθεση MGM, λέγοντας ότι δεν ήταν ο ίδιος ηθοποιός που χάκαρε τη Western Digital τον Μάρτιο.
Επικαλούμενη πηγές εξοικειωμένες με το θέμα, αναφέρει διαδικτυακά [
1
,
2
] λένε ότι ο παράγοντας απειλής που παραβίασε το MGM Resorts παρακολουθείται από εταιρείες κυβερνοασφάλειας ως
Διάσπαρτη Αράχνη
(Πλήθος
απεργία
).
Άλλες εταιρείες χρησιμοποιούν διαφορετικά ονόματα για να παρακολουθούν τον ίδιο παράγοντα απειλής: 0ktapus (Group-IB), UNC3944 (Mandiant) και Scatter Swine (Okta).
Σύμφωνα με δημοσιογράφους του Bloomberg, ο Scattered Spider παραβίασε επίσης το δίκτυο της Caesars Entertainment, η οποία, σε μια Επιτροπή Κεφαλαιαγοράς των ΗΠΑ την Πέμπτη, παρείχε μια ισχυρή υπόδειξη για την πληρωμή του εισβολέα για να αποφευχθεί η
διαρροή
δεδομένων πελατών που κλάπηκαν στην επίθεση. Το αίτημα για λύτρα φέρεται να ήταν 30 εκατομμύρια δολάρια.
Στη σημερινή τους δήλωση, η BlackCat αναφέρει ότι η MGM Resorts παρέμεινε σιωπηλή στο παρεχόμενο κανάλι επικοινωνίας, υποδεικνύοντας ότι η εταιρεία δεν έχει καμία πρόθεση να διαπραγματευτεί μια πληρωμή λύτρων.
Οι χάκερ τονίζουν ότι η μόνη ενέργεια που είδαν από την MGM ήταν ως απάντηση στην παραβίαση, αποσυνδέοντας «καθέναν από τους διακομιστές τους Okta Sync αφού έμαθαν ότι καραδοκούσαμε στους διακομιστές τους Okta Agent».
Ο εισβολέας ισχυρίζεται ότι προσπαθούσε να μυρίσει τυχόν κωδικούς πρόσβασης που δεν μπορούσαν να ανακτήσουν από τις κατακερματίσεις ελεγκτών τομέα.
Παρά τον τερματισμό των διακομιστών συγχρονισμού Okta, οι χάκερ συνέχισαν να είναι παρόντες στο δίκτυο, αναφέρει η BlackCat στη δήλωσή τους.
Ισχυρίστηκαν ότι εξακολουθούν να έχουν προνόμια σούπερ διαχειριστή στο περιβάλλον Okta της MGM και άδειες Global Administrator στον μισθωτή Azure της εταιρείας.
Αφού είδε την MGM να κάνει αυτήν την ενέργεια και χωρίς πρόθεση από την εταιρεία να συμμετάσχει σε διαπραγματεύσεις σχετικά με την παρεχόμενη συνομιλία, ο ηθοποιός της απειλής λέει ότι ανέπτυξαν την επίθεση ransomware.
«Έπειτα από αναμονή μιας ημέρας, ξεκινήσαμε επιτυχώς επιθέσεις ransomware εναντίον περισσότερων από 100 υπερβόλων ESXi στο περιβάλλον τους στις 11 Σεπτεμβρίου, αφού προσπαθήσαμε να έρθουμε σε επαφή αλλά απέτυχε. Αυτό έγινε αφού έφεραν εξωτερικές εταιρείες για βοήθεια στον περιορισμό του συμβάντος», – BlackCat/ALPHV.
Αυτή τη στιγμή, οι χάκερ λένε ότι δεν γνωρίζουν τι είδους δεδομένα έκλεψαν από την MGM, αλλά υπόσχονται να εξαγάγουν σχετικές πληροφορίες και να τις μοιραστούν στο διαδίκτυο, εκτός εάν καταλήξουν σε συμφωνία με την MGM.
Για να πιέσει την εταιρεία ακόμη περισσότερο να πληρώσει, η BlackCat απείλησε να χρησιμοποιήσει την τρέχουσα πρόσβασή της στην υποδομή της MGM για να «διεξάγει πρόσθετες επιθέσεις».
Το BleepingComputer δεν μπόρεσε να επιβεβαιώσει ανεξάρτητα τους ισχυρισμούς της BlackCat και η MGM δεν έχει απαντήσει στα email μας.
Who is Scattered Spider
Το Scattered Spider πιστεύεται ότι είναι μια ομάδα παραγόντων απειλών που είναι γνωστό ότι χρησιμοποιούν ένα ευρύ φάσμα επιθέσεων κοινωνικής μηχανικής για να παραβιάσουν τα εταιρικά δίκτυα.
Αυτές οι επιθέσεις περιλαμβάνουν πλαστοπροσωπία προσωπικού γραφείου υποστήριξης για να εξαπατήσουν τους χρήστες ώστε να εξαπατήσουν τα διαπιστευτήρια προμηθειών, επιθέσεις ανταλλαγής SIM για να καταλάβουν τον αριθμό τηλεφώνου μιας στοχευμένης κινητής συσκευής και επιθέσεις κόπωσης MFA και phishing για πρόσβαση σε κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων.
Σε αντίθεση με τις περισσότερες συνδεδεμένες εταιρείες ransomware που προέρχονται από χώρες της ΚΑΚ, οι ερευνητές πιστεύουν ότι η ομάδα hacking αποτελείται από αγγλόφωνους εφήβους και νεαρούς ενήλικες ηλικίας 16-22 ετών.
Επιπλέον
, λόγω της παρόμοιας τακτικής, οι ερευνητές πιστεύουν ότι η ομάδα επικαλύπτεται με την ομάδα hacking Lapsus$, η οποία είχε παρόμοια σύνθεση για μέλη και τακτικές.
Σύνδεση μεταξύ Lapsus$ και UNC3944
πηγή: Mandiant
Μόλις οι φορείς απειλής παραβιάσουν ένα δίκτυο, έχουν ιστορικό χρήσης επιθέσεων Bring Your Own Vulnerable Driver για να αποκτήσουν αυξημένη πρόσβαση σε μια παραβιασμένη συσκευή. Αυτή η πρόσβαση χρησιμοποιείται στη συνέχεια για να εξαπλωθεί περαιτέρω πλευρικά στο δίκτυο ενώ κλέβει δεδομένα και τελικά αποκτά πρόσβαση σε διαπιστευτήρια διαχειριστή.
Μόλις αποκτήσουν πρόσβαση σε διαπιστευτήρια διαχειριστή, μπορούν να εκτελέσουν περαιτέρω επιθέσεις, όπως παραβίαση διαχείρισης μεμονωμένης σύνδεσης, καταστροφή αντιγράφων ασφαλείας και, πιο πρόσφατα,
ανάπτυξη του ransomware BlackCat/ALPHV
για την κρυπτογράφηση συσκευών.
Ενώ το στοιχείο ransomware είναι μια σχετικά νέα τακτική της ομάδας hacking, σχεδόν όλες οι επιθέσεις τους περιλαμβάνουν εκβιασμό, όπου απαιτούν λύτρα εκατομμυρίων δολαρίων σε αντάλλαγμα για τη μη δημοσίευση δεδομένων ή τη λήψη κρυπτογραφητή.