Ceasars Entertainment, operator szanowanego kasyna Ceasars Palace w Las Vegas, ujawnił, że zapłacił atakującym znaczną sumę pieniędzy w następstwie niedawnego ataku oprogramowania typu ransomware, który prawdopodobnie był dziełem tego samego ugrupowania cyberprzestępczego, który włamał się do konkurencyjnego MGM Resorts za pomocą oprogramowania ransomware ALPHV/BlackCat.
W zgłoszeniu skierowane do amerykańskiej Komisji Papierów Wartościowych i Giełd (SEC), Ceasars Entertainment oświadczyło, że dowiedziało się o tym incydencie po zidentyfikowaniu podejrzanej aktywności w swojej sieci. Późniejsze dochodzenie, które zakończyło się 7 września, wykazało, że do organizacji doszło w wyniku ataku socjotechnicznego na zewnętrznego dostawcę wsparcia IT.
Nie miało to wpływu na jej działalność związaną z kontaktem z klientami, hotele oraz usługi gier online i mobilnych, jednakże Ceasars Entertainment odkryło, że atakującemu udało się ukraść kopię bazy danych programu lojalnościowego, w tym prawa jazdy i numery ubezpieczenia społecznego tysięcy gości oraz hazardzistów, choć obecnie nie ma dowodów na to, że doszło do kradzieży jakichkolwiek danych finansowych. Jest w trakcie powiadamiania ofiar.
Następnie Ceasars Entertainment wydało oświadczenie, które zdecydowanie sugeruje, że wynegocjowało i zapłaciło przynajmniej część okupu żądanego przez napastnika.
W raporcie napisano: „Podjęliśmy kroki, aby zapewnić usunięcie skradzionych danych przez osobę nieuprawnioną, chociaż nie możemy zagwarantować takiego rezultatu. Monitorujemy sieć i nie widzieliśmy żadnych dowodów na to, że dane były dalej udostępniane, publikowane lub wykorzystywane w inny sposób”.
Niemniej jednak pozorne przyznanie się do zapłaty okupu, sprzeczne ze wszystkimi przyjętymi najlepszymi praktykami, może przysporzyć kłopotów gigantowi z branży rozrywkowej, biorąc pod uwagę rygorystyczne zasady regulacyjne wdrażane przez Biuro Kontroli Aktywów Zagranicznych (OFAC) rządu USA. trzy lata temuco sprawiło, że dokonywanie lub ułatwianie płatności za oprogramowanie ransomware stanowiło potencjalne ryzyko sankcji na mocy prawa Stanów Zjednoczonych.
Wybitny aktor zagrażający
Ceasars Entertainment nie ujawniło żadnych szczegółów dotyczących grupy, która go wyłudziła, ale biorąc pod uwagę niemal równoczesny incydent, który dotknął sąsiadów MGM Resorts oraz fakt, że oba incydenty prawdopodobnie rozpoczęły się za pomocą socjotechniki, atak jest powszechnie powiązany z aktor zagrażający śledzone przez Mandiant Google Cloud jako UNC3944korzystając ze szafki ALPHV/BlackCat.
Należy zauważyć, że nie ma niezbitych dowodów wskazujących na związek Okty z incydentami w MGM Resorts lub Ceasars Entertainment, chociaż pojawiła się nowa fala ataków wykorzystujących inżynierię społeczną na jej klientów zgłoszono na początku tego miesiąca I dotychczas bezpodstawne twierdzenie wypowiedzieli się w tej kwestii przez osoby twierdzące, że stoją za atakiem na MGM. Computer Weekly skontaktował się z Oktą w celu uzyskania komentarza.
Szybko rozwijający się gang UNC3944 zaczął przeprowadzać ataki z wykorzystaniem socjotechniki i SMS-ów typu phishing (smishing), ale według najnowszych informacji Mandianta latem 2023 r. zaczął wdrażać oprogramowanie ransomware, rozszerzając przy tym zakres swoich działań poza branżę technologiczną włączenie firm z sektorów rozrywki, hotelarstwa, mediów i handlu detalicznego.
W większym stopniu skupiła się także na kradzieży wrażliwych danych w celu wymuszenia, a w związku ze zmianą zaplanowanego programu w rzeczywistości może nie mieć siedziby w Rosji – świadczy o kompetentnym zrozumieniu zachodnich praktyk biznesowych, a wielu członków prawdopodobnie jest rodzimym użytkownikiem języka angielskiego.
Mandiant powiedział, że grupa pracuje w „niezwykle wysokim tempie operacyjnym”, uzyskując dostęp do krytycznych systemów i bardzo szybko kradnąc duże ilości danych. Czynnik ten może mieć na celu „przytłoczenie” zespołów reagowania na zagrożenia.
Po uzyskaniu wstępnego dostępu za pomocą socjotechniki, UNC3944 korzysta z komercyjnych usług proxy dla gospodarstw domowych, aby uzyskać dostęp do swoich ofiar z tego samego obszaru geograficznego, co stanowi próbę oszukania narzędzi monitorujących wyszukujących podejrzany ruch z innych miejsc oraz legalnego oprogramowania, w tym narzędzi zdalnego dostępu.
Jej pracownicy poświęcają również znaczne zasoby na wychwytywanie informacji, które mogą pomóc im w eskalacji uprawnień i utrzymaniu trwałości, często obierając w tym celu narzędzia do zarządzania hasłami i systemy zarządzania dostępem uprzywilejowanym (PAM).
Często obserwowano tworzenie niezarządzanych maszyn wirtualnych (VM) w środowiskach ofiar w celu przeprowadzania ataków – w niektórych przypadkach te maszyny wirtualne są tworzone w środowiskach chmurowych ofiar i są dostępne przez Internet.
„Przewidujemy, że włamania związane z UNC3944 będą w dalszym ciągu obejmować różnorodne narzędzia, techniki i taktyki monetyzacji, w miarę jak aktorzy będą identyfikować nowych partnerów i przełączać się między różnymi społecznościami”
Badacze Mandiantów
Kiedy nadchodzi czas wdrożenia skrytki na oprogramowanie ransomware, UNC3944 lubi atakować krytyczne dla firmy maszyny wirtualne i inne systemy, aby spowodować jak najwięcej bólu, i zwiększa presję, zostawiając notatki z groźbami w zaatakowanych systemach, bombardując kadrę kierowniczą wiadomościami tekstowymi i e-mailami oraz infiltrowanie wewnętrznych kanałów komunikacyjnych wykorzystywanych do reagowania na incydenty.
„UNC3944 to ewoluujące zagrożenie, które stale poszerza swoje umiejętności i taktykę, aby skutecznie różnicować swoje strategie monetyzacji” – stwierdzili badacze Mandiant.
„Oczekujemy, że ci ugrupowania zagrażające będą z czasem udoskonalać swój handel i mogą pozyskać społeczności podziemne do wsparcia w celu zwiększenia skuteczności swoich działań.
„Początkowe sukcesy UNC3944 prawdopodobnie ośmieliły go do rozszerzenia swoich TTP na bardziej destrukcyjne i dochodowe ataki, w tym oprogramowanie ransomware i wymuszenia. Jest prawdopodobne, że ci cyberprzestępcy mogą używać innych marek oprogramowania ransomware i/lub stosować dodatkowe strategie monetyzacji, aby zmaksymalizować swoje zyski w przyszłości.
„Przewidujemy, że włamania związane z UNC3944 będą w dalszym ciągu obejmować różnorodne narzędzia, techniki i taktyki monetyzacji, w miarę jak aktorzy identyfikują nowych partnerów i przełączają się między różnymi społecznościami” – dodali.
enQ, wiodąca na świecie marka projektorów DLP 4K i innowator cyfrowych urządzeń lifestylowych, zaprezentowała dziś trzy zupełnie nowe inteligentne projektory 4K HDR. ...
Dziś rano Microsoft ustalił datę premiery swojego Drugi pilot zasilany sztuczną inteligencją funkcję i po raz pierwszy pokazał niektóre ze swoich możliwości. ...
