David Bradbury, dyrektor ds. bezpieczeństwa informacji (CISO) w firmie specjalizującej się w zarządzaniu tożsamością i dostępem (IAM). Oktapotwierdziła, że dwa cyberataki wymierzone były w operatorów kasyn w Las Vegas Hotele MGM I Rozrywka Cezara wydawało się, że wykorzystuje technologię firmy jako wektor dostępu, dostarczając wskazówek, jak rozpoczęły się równoczesne cyberataki.
W nowo opublikowanym wywiadzie dla agencji prasowej ReuteraBradbury ujawnił, że wśród pięciu klientów Okta padło zarówno MGM Resorts, jak i Caesars Entertainment ugrupowanie zagrażające znane jako UNC3944 – alias Scattered Spider, Scatter Swine, 0ktapus – prawdopodobnie działał w ciągu ostatnich kilku tygodni jako podmiot stowarzyszony z operacją ransomware ALPHV/BlackCat.
Powiedział, że Okta współpracuje z organami ścigania i uczestniczy w oficjalnych dochodzeniach.
Okta jest obiektem zainteresowania UNC3944 od ponad roku. W 2022 roku operacja cyberprzestępcza wykorzystała swoją markę w serii ataków na przemysł technologicznyi zaledwie dwa tygodnie temu ostrzegał że nowa fala ataków socjotechnicznych była wycelowana w jej klientów.
Bradbury powiedział Reutera zaobserwował „wzrost” liczby ataków socjotechnicznych na klientów Okta w zeszłym roku i wspomniał o stałym schemacie ataków socjotechnicznych, które oszukiwały centra pomocy IT ofiar, aby przyznały im dostęp.
Bradbury nie ujawnił tożsamości pozostałych ofiar. Jednak badacze z londyńskiej firmy konsultingowej DynaRisk ds. bezpieczeństwa wcześniej opublikowane informacje na podstawie skanu danych sugerującego, że UNC3944 – lub inne – może posiadać skradzione dane uwierzytelniające Okta powiązane z ponad 500 innymi firmami.
DynaRisk twierdzi, że do tych organizacji zalicza się firma technologiczna Adobe, gigant napojów Diageo i twórca gier Epic Games.
Gang ransomware: „Zrobiliśmy to, a oto jak”
Wyznanie Okty w pewnym stopniu rozwiewa spekulacje, które pojawiły się po opublikowaniu 14 września oświadczenia operacji ransomware ALPHV/BlackCat.
W oświadczeniu gang stwierdził, że zespół IT MGM Resorts zamknął swoje systemy po wykryciu, że gang włamał się na serwery Okta i, jak mówi, „wąchał hasła osób, których haseł nie można złamać na podstawie zrzutów skrótów kontrolerów domeny”. ”.
To rzekomo doprowadziło do zablokowania MGM Resorts dostępu do dzierżawy Okta, podczas gdy atakującym udało się zachować uprawnienia superadministratora – dokładnie taki scenariusz, przed którym ostrzegała Okta – a także uprawnienia administratora globalnego do dzierżawy Microsoft Azure firmy MGM Resorts.
Gang powiedział, że zespół IT próbował go eksmitować po odkryciu, że uzyskał dostęp do najemcy MGM Okta, ale „sprawy nie poszły zgodnie z planem”.
Wkrótce potem, 11 września, gang oświadczył, że po bezskutecznych próbach skontaktowania się z ofiarą był w stanie przeprowadzić ataki oprogramowania ransomware na ponad 100 hiperwizorów ESXi.
Ariel Parnes, współzałożyciel i dyrektor operacyjny specjalisty ds. reagowania na incydenty w chmurze Mitiga i były specjalista izraelskiego wywiadu cybernetycznego ostrzegł, że wypowiedzi gangu niekoniecznie należy uważać za dokładne.
„Prawdziwość informacji ujawnionych przez napastnika MGM pozostaje niepewna. Jest całkowicie możliwe, że ujawnienie to jest częścią wykalkulowanej kampanii psychologicznej mającej na celu wywarcie dodatkowej presji na MGM. Taką taktykę można zastosować, aby zasiać wątpliwości, wywołać wewnętrzną niezgodę i wesprzeć plany atakującego, co powoduje, że konieczne jest podejście do takich twierdzeń z ostrożnością i sceptycyzmem” – powiedział Parnes.
„Nawet jeśli oświadczenie nie opisuje prawdziwej historii, rzuca pewne światło na to, w jaki sposób osoby atakujące mogą wykorzystać nieodłączną złożoność środowisk hybrydowych z lokalnymi centrami danych, chmurą i SaaS [software as a service]”, powiedział Computer Weekly w komentarzach przesłanych e-mailem.
Christopher Budd, dyrektor ds Sophos X-Ops zespół, powiedział: „To jest Ocean’s Eleven ery cybernetycznej”.
Budd stwierdził, że jasne jest, że ugrupowania zagrażające „rozszerzają swoją grę na przestrzeń wojny informacyjnej” i próbują kontrolować ogólną narrację. Ostrzegł jednak, że może to utrudnić służbom ratowniczym skuteczne działanie.
“Atak atrybucja jest trudne – i ryzykowne. Zbytnie skupianie się na tym, kto, a nie na tym, jak atakujący może faktycznie pomóc przestępcom, a także może i będzie odwracać uwagę obrońców od tego, co naprawdę ważne, takiego jak konfigurowanie operacji wykrywania i reagowania oraz ścisłe monitorowanie klastry aktywności zagrożeń– powiedział Budd.
„W tym momencie wszystkie kasyna powinny przyjąć możliwie najwyższą postawę defensywną i podjąć aktywne działania w celu sprawdzenia integralności swoich systemów i środowiska oraz dokonać przeglądu – jeśli nie aktywowania – swoich procesów reagowania na incydenty. Miały miejsce ataki na wiele kasyn i możliwe, że zobaczymy ich więcej. Jak brzmi cytat o tym, dlaczego okradać banki: „Tam są pieniądze” – i to ma zastosowanie w tym przypadku” – powiedział.
MGM Resorts ponownie online
W chwili pisania tego tekstu MGM Resorts radziło sobie aby utrzymać swoją publicznie dostępną stronę internetową. W oświadczeniu opublikowanym na swojej stronie internetowej napisano: „MGM Resorts zidentyfikowało niedawno problem związany z bezpieczeństwem cybernetycznym wpływającym na niektóre systemy firmy. Natychmiast po wykryciu problemu szybko rozpoczęliśmy dochodzenie, korzystając z pomocy wiodących zewnętrznych ekspertów ds. bezpieczeństwa cybernetycznego. Powiadomiliśmy również organy ścigania i podjęliśmy natychmiastowe działania w celu ochrony naszych systemów i danych, łącznie z zamknięciem niektórych systemów.
„Chociaż problem dotyczy niektórych systemów firmy, zdecydowana większość naszych ofert nieruchomości nadal działa, a każdego dnia nadal przyjmujemy dziesiątki tysięcy gości. Jesteśmy gotowi Cię powitać.”
Organizacja przyjmuje i honoruje rezerwacje oraz przetwarza transakcje kartami kredytowymi w normalny sposób, chociaż usługi mobilnego zameldowania i cyfrowego klucza do pokoju pozostają offline. Znosi także opłaty za anulowanie rezerwacji dla gości, którzy dokonali rezerwacji do niedzieli 24 września.
Jak informowaliśmy w zeszłym tygodniu, wydaje się, że Caesars Entertainment doświadczyło mniejszych zakłóceń po zapłaceniu znacznego okupu.
