Οι διακομιστές ESXi του καζίνο MGM φέρεται να είναι κρυπτογραφημένοι σε επίθεση ransomware

Μια θυγατρική της ομάδας ransomware BlackCat, γνωστή και ως APLHV, βρίσκεται πίσω από την επίθεση που διέκοψε τις λειτουργίες της MGM Resorts, αναγκάζοντας την εταιρεία να κλείσει τα συστήματα πληροφορικής.

Σε σημερινή δήλωση, η ομάδα ransomware BlackCat ισχυρίζεται ότι είχε διεισδύσει στην υποδομή της MGM από την Παρασκευή και κρυπτογράφηση περισσότερων από 100 hypervisors ESXi μετά την κατάργηση της εσωτερικής υποδομής από την εταιρεία.

Η συμμορία λέει ότι διείσδυσε δεδομένα από το δίκτυο και διατήρησε πρόσβαση σε ορισμένες από τις υποδομές της MGM, απειλώντας να αναπτύξει νέες επιθέσεις εκτός εάν επιτευχθεί συμφωνία για πληρωμή λύτρων.

Αναπτύχθηκε ransomware, κλάπηκαν δεδομένα MGM

Έσπασε για πρώτη φορά ο ερευνητής κυβερνοασφάλειας vx-underground

τα νέα

ότι οι φορείς απειλών που συνδέονται με τη λειτουργία ransomware ALPHV φέρεται να παραβίασαν το MGM μέσω μιας επίθεσης κοινωνικής μηχανικής.

Ενώ η BleepingComputer δεν μπόρεσε να επιβεβαιώσει αν αυτό ήταν αλήθεια, ο διαχειριστής του BlackCat/ALPHV επιβεβαίωσε χθες με το BleepingComputer ότι μια από τις “διαφημίσεις” τους (συνεργάτης) πραγματοποίησε την επίθεση MGM, λέγοντας ότι δεν ήταν ο ίδιος ηθοποιός που χάκαρε τη Western Digital στο Μάρτιος.

Επικαλούμενη πηγές εξοικειωμένες με το θέμα, αναφέρει διαδικτυακά [

1

,

2

] αργότερα είπε ότι ο παράγοντας απειλής που παραβίασε το MGM Resorts παρακολουθείται από εταιρείες κυβερνοασφάλειας ως

Διάσπαρτη Αράχνη

(Πλήθος απεργία).

Άλλες εταιρείες χρησιμοποιούν διαφορετικά ονόματα για να παρακολουθούν τον ίδιο παράγοντα απειλής: 0ktapus (Group-IB), UNC3944 (Mandiant) και Scatter Swine (Okta).

Σύμφωνα με δημοσιογράφους του Bloomberg, ο Scattered Spider παραβίασε επίσης το δίκτυο της Caesars Entertainment, η οποία, σε μια Επιτροπή Κεφαλαιαγοράς των ΗΠΑ την Πέμπτη, παρείχε μια ισχυρή υπόδειξη για την πληρωμή του εισβολέα για να αποφευχθεί η διαρροή δεδομένων πελατών που κλάπηκαν στην επίθεση. Το αίτημα για λύτρα φέρεται να ήταν 30 εκατομμύρια δολάρια.

Στη σημερινή τους δήλωση, η BlackCat αναφέρει ότι η MGM Resorts παρέμεινε σιωπηλή στο παρεχόμενο κανάλι επικοινωνίας, υποδεικνύοντας ότι η εταιρεία δεν έχει καμία πρόθεση να διαπραγματευτεί μια πληρωμή λύτρων.

Οι χάκερ τονίζουν ότι η μόνη ενέργεια που είδαν από την MGM ήταν ως απάντηση στην παραβίαση, αποσυνδέοντας «καθέναν από τους διακομιστές τους Okta Sync αφού έμαθαν ότι καραδοκούσαμε στους διακομιστές τους Okta Agent».

Ο εισβολέας ισχυρίζεται ότι προσπαθούσε να μυρίσει τυχόν κωδικούς πρόσβασης που δεν μπορούσαν να ανακτήσουν από τις κατακερματίσεις ελεγκτών τομέα.

Παρά τον τερματισμό των διακομιστών συγχρονισμού Okta, οι χάκερ συνέχισαν να είναι παρόντες στο δίκτυο, αναφέρει η BlackCat στη δήλωσή τους.

Ισχυρίστηκαν ότι εξακολουθούν να έχουν προνόμια σούπερ διαχειριστή στο περιβάλλον Okta της MGM και άδειες Global Administrator στον μισθωτή Azure της εταιρείας.

Αφού είδε την MGM να κάνει αυτήν την ενέργεια και χωρίς πρόθεση από την εταιρεία να συμμετάσχει σε διαπραγματεύσεις σχετικά με την παρεχόμενη συνομιλία, ο ηθοποιός της απειλής λέει ότι ανέπτυξαν την επίθεση ransomware.

Αυτή τη στιγμή, οι χάκερ λένε ότι δεν γνωρίζουν τι είδους δεδομένα έκλεψαν από την MGM, αλλά υπόσχονται να εξαγάγουν σχετικές πληροφορίες και να τις μοιραστούν στο διαδίκτυο, εκτός εάν καταλήξουν σε συμφωνία με την MGM.

Για να πιέσει την εταιρεία ακόμη περισσότερο να πληρώσει, η BlackCat απείλησε να χρησιμοποιήσει την τρέχουσα πρόσβασή της στην υποδομή της MGM για να «διεξάγει πρόσθετες επιθέσεις».

Το BleepingComputer δεν μπόρεσε να επιβεβαιώσει ανεξάρτητα τους ισχυρισμούς της BlackCat και η MGM δεν έχει απαντήσει στα email μας.

Who is Scattered Spider

Το Scattered Spider πιστεύεται ότι είναι μια ομάδα παραγόντων απειλών που είναι γνωστό ότι χρησιμοποιούν ένα ευρύ φάσμα επιθέσεων κοινωνικής μηχανικής για να παραβιάσουν τα εταιρικά δίκτυα.

Αυτές οι επιθέσεις περιλαμβάνουν πλαστοπροσωπία προσωπικού γραφείου υποστήριξης για να εξαπατήσουν τους χρήστες ώστε να εξαπατήσουν τα διαπιστευτήρια προμηθειών, επιθέσεις ανταλλαγής SIM για να καταλάβουν τον αριθμό τηλεφώνου μιας στοχευμένης κινητής συσκευής και επιθέσεις κόπωσης MFA και phishing για πρόσβαση σε κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων.

Σε αντίθεση με τις περισσότερες συνδεδεμένες εταιρείες ransomware που προέρχονται από χώρες της ΚΑΚ, οι ερευνητές πιστεύουν ότι η ομάδα hacking αποτελείται από αγγλόφωνους εφήβους και νεαρούς ενήλικες ηλικίας 16-22 ετών.

Επιπλέον, λόγω της παρόμοιας τακτικής, οι ερευνητές πιστεύουν ότι η ομάδα επικαλύπτεται με την ομάδα hacking Lapsus$, η οποία είχε παρόμοια σύνθεση για μέλη και τακτικές.

Μια καμπάνια Scattered Spider με την ονομασία «0ktapus» χρησιμοποιήθηκε για να στοχεύσει πάνω από 130 οργανισμούς για την κλοπή διαπιστευτηρίων ταυτότητας Okta και κωδικούς 2FA, με ορισμένους από αυτούς τους στόχους, όπως T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase , Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC και Best Buy.

Μόλις οι φορείς απειλής παραβιάσουν ένα δίκτυο, έχουν ιστορικό χρήσης επιθέσεων Bring Your Own Vulnerable Driver για να αποκτήσουν αυξημένη πρόσβαση σε μια παραβιασμένη συσκευή. Αυτή η πρόσβαση χρησιμοποιείται στη συνέχεια για να εξαπλωθεί περαιτέρω πλευρικά στο δίκτυο ενώ κλέβει δεδομένα και τελικά αποκτά πρόσβαση σε διαπιστευτήρια διαχειριστή.

Μόλις αποκτήσουν πρόσβαση σε διαπιστευτήρια διαχειριστή, μπορούν να εκτελέσουν περαιτέρω επιθέσεις, όπως παραβίαση διαχείρισης μεμονωμένης σύνδεσης, καταστροφή αντιγράφων ασφαλείας και, πιο πρόσφατα,

ανάπτυξη του ransomware BlackCat/ALPHV

για την κρυπτογράφηση συσκευών.

Ενώ το στοιχείο ransomware είναι μια σχετικά νέα τακτική της ομάδας hacking, σχεδόν όλες οι επιθέσεις τους περιλαμβάνουν εκβιασμό, όπου απαιτούν λύτρα εκατομμυρίων δολαρίων σε αντάλλαγμα για τη μη δημοσίευση δεδομένων ή τη λήψη κρυπτογραφητή.