Główna siedziba Las Vegas, Ceasars Palace, prawdopodobnie opłaciła się ekipie zajmującej się oprogramowaniem ransomware


Ceasars Entertainment, operator szanowanego kasyna Ceasars Palace w Las Vegas, ujawnił, że zapłacił atakującym znaczną sumę pieniędzy w następstwie niedawnego ataku oprogramowania typu ransomware, który prawdopodobnie był dziełem tego samego ugrupowania cyberprzestępczego, który włamał się do konkurencyjnego MGM Resorts za pomocą oprogramowania ransomware ALPHV/BlackCat.

W zgłoszeniu skierowane do amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC), Ceasars Entertainment oświadczyło, że dowiedziało się o tym incydencie po zidentyfikowaniu podejrzanej aktywności w swojej sieci. Późniejsze dochodzenie, które zakończyło się 7 września, wykazało, że do organizacji doszło w wyniku ataku socjotechnicznego na zewnętrznego dostawcę wsparcia IT.

Nie miało to wpływu na jej działalność związaną z kontaktem z klientami, hotele oraz usługi gier online i mobilnych, jednakże Ceasars Entertainment odkryło, że atakującemu udało się ukraść kopię bazy danych programu lojalnościowego, w tym prawa jazdy i numery ubezpieczenia społecznego tysięcy gości oraz hazardzistów, choć obecnie nie ma dowodów na to, że doszło do kradzieży jakichkolwiek danych finansowych. Jest w trakcie powiadamiania ofiar.

Następnie Ceasars Entertainment wydało oświadczenie, które zdecydowanie sugeruje, że wynegocjowało i zapłaciło przynajmniej część okupu żądanego przez napastnika.

W raporcie napisano: „Podjęliśmy kroki, aby zapewnić usunięcie skradzionych danych przez osobę nieuprawnioną, chociaż nie możemy zagwarantować takiego rezultatu. Monitorujemy sieć i nie widzieliśmy żadnych dowodów na to, że dane były dalej udostępniane, publikowane lub wykorzystywane w inny sposób”.

Według doniesień okup został zapłacony mogło wynosić nawet 15 milionów dolarówwynegocjowano obniżkę z 30 mln dolarów, chociaż nie jest to potwierdzone.

Reklama

Niemniej jednak pozorne przyznanie się do zapłaty okupu, sprzeczne ze wszystkimi przyjętymi najlepszymi praktykami, może przysporzyć kłopotów gigantowi z branży rozrywkowej, biorąc pod uwagę rygorystyczne zasady regulacyjne wdrażane przez Biuro Kontroli Aktywów Zagranicznych (OFAC) rządu USA. trzy lata temuco sprawiło, że dokonywanie lub ułatwianie płatności za oprogramowanie ransomware stanowiło potencjalne ryzyko sankcji na mocy prawa Stanów Zjednoczonych.

Wybitny aktor zagrażający

Ceasars Entertainment nie ujawniło żadnych szczegółów dotyczących grupy, która go wyłudziła, ale biorąc pod uwagę niemal równoczesny incydent, który dotknął sąsiadów MGM Resorts oraz fakt, że oba incydenty prawdopodobnie rozpoczęły się za pomocą socjotechniki, atak jest powszechnie powiązany z aktor zagrażający śledzone przez Mandiant Google Cloud jako UNC3944korzystając ze szafki ALPHV/BlackCat.

Znany również jako 0ktapus, rozproszony pająk i rozproszona świnia, UNC3944 zyskała sławę w 2022 roku poprzez serię zuchwałych ataków wykorzystujących inżynierię społeczną wykorzystujących zaufanie klientów specjalista ds. zarządzania tożsamością i dostępem (IAM) Okta umieszczone w marce.

Należy zauważyć, że nie ma niezbitych dowodów wskazujących na związek Okty z incydentami w MGM Resorts lub Ceasars Entertainment, chociaż pojawiła się nowa fala ataków wykorzystujących inżynierię społeczną na jej klientów zgłoszono na początku tego miesiąca I dotychczas bezpodstawne twierdzenie wypowiedzieli się w tej kwestii przez osoby twierdzące, że stoją za atakiem na MGM. Computer Weekly skontaktował się z Oktą w celu uzyskania komentarza.

Szybko rozwijający się gang UNC3944 zaczął przeprowadzać ataki z wykorzystaniem socjotechniki i SMS-ów typu phishing (smishing), ale według najnowszych informacji Mandianta latem 2023 r. zaczął wdrażać oprogramowanie ransomware, rozszerzając przy tym zakres swoich działań poza branżę technologiczną włączenie firm z sektorów rozrywki, hotelarstwa, mediów i handlu detalicznego.

W większym stopniu skupiła się także na kradzieży wrażliwych danych w celu wymuszenia, a w związku ze zmianą zaplanowanego programu w rzeczywistości może nie mieć siedziby w Rosji – świadczy o kompetentnym zrozumieniu zachodnich praktyk biznesowych, a wielu członków prawdopodobnie jest rodzimym użytkownikiem języka angielskiego.

Mandiant powiedział, że grupa pracuje w „niezwykle wysokim tempie operacyjnym”, uzyskując dostęp do krytycznych systemów i bardzo szybko kradnąc duże ilości danych. Czynnik ten może mieć na celu „przytłoczenie” zespołów reagowania na zagrożenia.

Po uzyskaniu wstępnego dostępu za pomocą socjotechniki, UNC3944 korzysta z komercyjnych usług proxy dla gospodarstw domowych, aby uzyskać dostęp do swoich ofiar z tego samego obszaru geograficznego, co stanowi próbę oszukania narzędzi monitorujących wyszukujących podejrzany ruch z innych miejsc oraz legalnego oprogramowania, w tym narzędzi zdalnego dostępu.

Jej pracownicy poświęcają również znaczne zasoby na wychwytywanie informacji, które mogą pomóc im w eskalacji uprawnień i utrzymaniu trwałości, często obierając w tym celu narzędzia do zarządzania hasłami i systemy zarządzania dostępem uprzywilejowanym (PAM).

Często obserwowano tworzenie niezarządzanych maszyn wirtualnych (VM) w środowiskach ofiar w celu przeprowadzania ataków – w niektórych przypadkach te maszyny wirtualne są tworzone w środowiskach chmurowych ofiar i są dostępne przez Internet.

„Przewidujemy, że włamania związane z UNC3944 będą w dalszym ciągu obejmować różnorodne narzędzia, techniki i taktyki monetyzacji, w miarę jak aktorzy będą identyfikować nowych partnerów i przełączać się między różnymi społecznościami”

Badacze Mandiantów

Kiedy nadchodzi czas wdrożenia skrytki na oprogramowanie ransomware, UNC3944 lubi atakować krytyczne dla firmy maszyny wirtualne i inne systemy, aby spowodować jak najwięcej bólu, i zwiększa presję, zostawiając notatki z groźbami w zaatakowanych systemach, bombardując kadrę kierowniczą wiadomościami tekstowymi i e-mailami oraz infiltrowanie wewnętrznych kanałów komunikacyjnych wykorzystywanych do reagowania na incydenty.

„UNC3944 to ewoluujące zagrożenie, które stale poszerza swoje umiejętności i taktykę, aby skutecznie różnicować swoje strategie monetyzacji” – stwierdzili badacze Mandiant.

„Oczekujemy, że ci ugrupowania zagrażające będą z czasem udoskonalać swój handel i mogą pozyskać społeczności podziemne do wsparcia w celu zwiększenia skuteczności swoich działań.

„Początkowe sukcesy UNC3944 prawdopodobnie ośmieliły go do rozszerzenia swoich TTP na bardziej destrukcyjne i dochodowe ataki, w tym oprogramowanie ransomware i wymuszenia. Jest prawdopodobne, że ci cyberprzestępcy mogą używać innych marek oprogramowania ransomware i/lub stosować dodatkowe strategie monetyzacji, aby zmaksymalizować swoje zyski w przyszłości.

„Przewidujemy, że włamania związane z UNC3944 będą w dalszym ciągu obejmować różnorodne narzędzia, techniki i taktyki monetyzacji, w miarę jak aktorzy identyfikują nowych partnerów i przełączają się między różnymi społecznościami” – dodali.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

Vinpower ogłasza ulepszoną ładowarkę iXCharger, oferującą ładowanie 140 W i 2 TB przestrzeni dyskowej

Vinpower, Inc., dzięki strategicznemu sojuszowi z Phihong Technology, wracają do laboratorium, udoskonalając wielokrotnie nagradzaną i długo oczekiwaną wersję iXCharger 65 W, która jest...

ASUS przedstawia wydajność NUC 14 z procesorem Core Ultra 9 185H i GeForce RTX 4070

Firma ASUS przedstawiła dzisiaj NUC 14 Performance, który, jak sama nazwa wskazuje, jest nastawiony na wydajność. Jest to zasadniczo bliźniak ROG NUC,...

Ten komputer stacjonarny o wartości 99,99 USD mieści się w dłoni

Zakup nowego komputera stacjonarnego polega na sprawdzeniu jego ceny i określeniu, ile miejsca będzie on zajmował. Wyróżniającym się kandydatem jest minikomputer ECS...
Advertisment