Os servidores ESXi do casino MGM foram supostamente criptografados em um ataque de ransomware
15 de Setembro de 2023

Um afiliado do grupo de ransomware BlackCat, também conhecido como APLHV, está por trás do ataque que interrompeu as operações dos Resorts MGM, forçando a empresa a desativar seus sistemas de TI.

Em um comunicado hoje, o grupo de ransomware BlackCat afirma que infiltrou a infraestrutura da MGM desde sexta-feira e criptografou mais de 100 hipervisores ESXi depois que a empresa desativou a infraestrutura interna.

A gangue afirma que exfiltrou dados da rede e mantém acesso a alguma infraestrutura da MGM, ameaçando lançar novos ataques a menos que seja alcançado um acordo para pagar um resgate.

O pesquisador de cibersegurança vx-underground foi o primeiro a divulgar a notícia de que atores de ameaças afiliados à operação de ransomware ALPHV supostamente violaram a MGM por meio de um ataque de engenharia social.

Embora a BleepingComputer não pudesse confirmar isso, o administrador BlackCat / ALPHV confirmou com a BleepingComputer ontem que um de seus "anúncios" (afiliado) realizou o ataque à MGM, dizendo que não era o mesmo ator que hackeou a Western Digital em março.

Citando fontes familiarizadas com o assunto, relatórios online [1, 2] disseram posteriormente que o ator de ameaças que violou os Resorts MGM está sendo rastreado por empresas de cibersegurança como a Scattered Spider (Crowdstrike).

Outras empresas usam nomes diferentes para rastrear o mesmo agente de ameaça: 0ktapus (Group-IB), UNC3944 (Mandiant) e Scatter Swine (Okta).

De acordo com repórteres da Bloomberg, Scattered Spider também violou a rede da Caesars Entertainment, que, em uma Comissão de Valores Mobiliários e Câmbio dos EUA na quinta-feira, deu uma forte indicação de que pagaria ao atacante para evitar um vazamento de dados de clientes roubados no ataque.

A exigência de resgate era supostamente de $30 milhões.

Em sua declaração hoje, a BlackCat diz que a MGM Resorts permaneceu em silêncio no canal de comunicação fornecido, indicando que a empresa não tem intenção de negociar um pagamento de resgate.

Os hackers enfatizam que a única ação que viram da MGM foi em resposta à violação, desconectando "todos e cada um de seus servidores Okta Sync depois de aprender que estávamos à espreita em seus servidores Okta Agent".

O agressor afirma que estava tentando farejar quaisquer senhas que não conseguia recuperar dos dumps de hash do controlador de domínio.

Apesar de desligar os servidores de sincronização Okta, os hackers continuaram presentes na rede, diz a BlackCat em sua declaração.

Eles afirmaram ainda ter privilégios de superadministrador no ambiente Okta da MGM e autorizações de administrador global para o inquilino Azure da empresa.

Depois de ver a MGM tomando essa ação e sem intenção da empresa de se envolver em negociações no chat fornecido, o ator de ameaças diz que lançou o ataque de ransomware.

Neste momento, os hackers dizem que não sabem que tipo de dados roubaram da MGM, mas prometem extrair informações relevantes e compartilhá-las online a menos que cheguem a um acordo com a MGM.

Para pressionar ainda mais a empresa a pagar, a BlackCat ameaçou usar seu acesso atual à infraestrutura da MGM para "realizar ataques adicionais".

A BleepingComputer não conseguiu confirmar de forma independente as alegações da BlackCat e a MGM não respondeu aos nossos e-mails.

Acredita-se que Scattered Spider seja um grupo de atores de ameaças que usam uma ampla gama de ataques de engenharia social para violar redes corporativas.

Esses ataques incluem a personificação de pessoal de help desk para enganar usuários a fornecer credenciais, ataques de troca de SIM para assumir o número de telefone de um dispositivo móvel alvo e fadiga MFA e ataques de phishing para obter acesso a códigos de autenticação de múltiplos fatores.

Ao contrário da maioria dos afiliados de ransomware que são de países da CEI, os pesquisadores acreditam que o grupo de hackers é composto por adolescentes e jovens adultos falantes de inglês com idades entre 16 e 22 anos.

Além disso, devido às táticas semelhantes, os pesquisadores acreditam que o grupo se sobrepõe ao grupo de hackers Lapsus$, que tinha maquiagem semelhante para membros e táticas.

Uma campanha Scattered Spider chamada '0ktapus' foi usada para visar mais de 130 organizações para roubar credenciais de identidade Okta e códigos 2FA, com alguns desses alvos incluindo T-Mobile, MetroPCS, Verizon Wireless, AT&T, Slack, Twitter, Binance, KuCoin, CoinBase, Microsoft, Epic Games, Riot Games, Evernote, AT&T, HubSpot, TTEC e Best Buy.

Assim que os atores de ameaças violam uma rede, eles têm um histórico de utilização de ataques do tipo Bring Your Own Vulnerable Driver para obter acesso elevado a um dispositivo comprometido. Esse acesso é então usado para se espalhar lateralmente na rede enquanto rouba dados e, finalmente, ganhando acesso a credenciais de administrador.

Uma vez que obtenham acesso às credenciais de administrador, eles podem realizar ataques adicionais, como sequestro de administração de logon único, destruição de backups e, mais recentemente, implantação do ransomware BlackCat / ALPHV para criptografar dispositivos.

Embora o componente de ransomware seja uma tática relativamente nova do grupo de hackers, quase todos os seus ataques envolvem extorsão, onde exigem resgates de milhões de dólares em troca de não publicar dados ou para receber um codificador.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...