Хак-группа BlackCat (ALPHV) взяла на себя ответственность за недавний взлом компании MGM Resorts, которая владеет сетями отелей, курортов и казино по всему миру. Хакеры утверждают, что зашифровали более 100 гипервизоров ESXi, вынудив компанию практически полностью отключить внутреннюю инфраструктуру. При этом злоумышленники якобы все еще сохраняют доступ к сети MGM.
Атака на MGM Resorts произошла в прошлые выходные, и инцидент привел к отключению многих компьютерных систем компании, включая сайты крупнейших отелей Лас-Вегаса и Нью-Йорка, системы бронирования и некоторые услуги в казино.
В частности сообщалось о том, что в казино не работают игровые автоматы, у посетителей отелей отказывают ключ-карты от номеров, электронные переводы выигрышей в казино замедлились, не работает приложение MGM Rewards, а по вопросам бронирования пользователям предлагается связываться с компанией по телефону.
Первыми о связи BlackCat (ALPHV) с этой атакой сообщили исследователи Vx-underground, которые писали, что для взлома компании стоимостью 34 млрд долларов оказалось достаточно 10-минутного телефонного звонка. По их словам, хакеры просто «зашли в LinkedIn, нашли сотрудника [MGM Resorts] и устроили звонок из техподдержки».
Теперь же информацию о своей причастности к взлому подтвердили и сами хакеры, опубликовав сообщение на своем сайте в даркнете, а также пообщавшись с журналистами. Так, злоумышленники сообщили изданию Bleeping Computer, что за атакой на MGM стоял один из «партнеров» группировки.
По информации СМИ (1, 2) речь идет о хак-группе, которую специалисты компании Crowdstrike отслеживают под названием Scattered Spider, а другие компании обозначают как 0ktapus (Group-IB), UNC3944 (Mandiant) и Scatter Swine (Okta).
По данным исследователей, эта группировка в основном использует социальную инженерию для взлома корпоративных сетей. Так, злоумышленники выдают себя за специалистов технической поддержки (чтобы выманить у пользователей учетные данные), используют атаки на подмену SIM карты (чтобы захватить контроль над нужным телефонным номером), а также фишинг и другие методы (чтобы обойти многофакторную аутентификацию).
При этом считается, что основной состав Scattered Spider — это англоговорящие подростки в возрасте от 16 до 22 лет, и в целом группировка очень напоминает Lapsus$, чьи участники использовали похожие методы атак и были примерно того же возраста. Эксперты Mandiant предполагают, что между этими группировками даже может быть связь.
Представители BlackCat (ALPHV) заявили, что пока MGM Resorts хранит молчание, то есть компания, очевидно, не собирается обсуждать со злоумышленниками выплату выкупа. При этом хакеры подчеркивают, что единственным действием со стороны MGM было отключение «всех до единого серверов Okta Sync после того, как они узнали, что мы скрываемся на их серверах Okta Agent».
Несмотря на отключение серверов Okta Sync, хакеры утверждают, что они по-прежнему сохраняют доступ к сети компании. По их словам, у них все еще есть права суперадминистратора в Okta-среде MGM, а также права Global Administrator в Azure-тенанте компании.
«Выждав один день, 11 сентября мы провели успешную атаку шифровальщика более чем на 100 гипервизоров ESXi в их среде. Это произошло после того, как они привлекли сторонние компании для помощи в локализации инцидента», — заявляет хак-группа.
Злоумышленники говорят, что пока не знают, какие именно данные они похитили у MGM, но обещают выложить информацию в открытый доступ, если не достигнут соглашения с компанией. Чтобы вынудить компанию заплатить, группировка угрожает использовать имеющийся доступ к инфраструктуре MGM для «проведения дополнительных атак».
Также стоит отметить, что на неделе издания Financial Times и TechCrunch сообщили со ссылками на собственные источники, что изначальным планом хакеров была атака только на игровые автоматы MGM. Якобы злоумышленники собиралась медленно выкачивать средства из устройств, подсылая в казино собственных «мулов». Когда же этот план провалился, группировка обратились к проверенным методам и зашифровала системы MGM.
После этих заявлений журналистов представители BlackCat (ALPHV) обновили сообщение на своем сайте, заявив, что вообще не собирались взламывать игровые автоматы, так как это не принесло бы никакой пользы, зато помешало бы возможным переговорам о выкупе. Также злоумышленники отмечают, что информация о хакерах-подростках, это лишь слухи и ничего более.