近期,针对米高梅司和凯撒娱乐公司的勒索软件攻击成为新闻焦点。美国博彩酒店行业正在遭遇史上最严重的网络攻击。9月10日开始的网络攻击给米高梅造成严重的破坏,影响了其旗下拉斯维加斯及其他州的酒店预订系统和赌场,导致其关闭了全国范围内的酒店系统。米高梅国际酒店的顾客需要等待数小时才能入住;老虎机、自动提款机和停车系统无法使用。另据《华尔街日报》报道,为避免米高梅的遭遇,凯撒酒店选择向攻击组织支付了1500万美元的赎金,为索要3000 万美元勒索赎金要求的一半。

恶意软件研究组织 VX-Underground 在社交媒体声称, Alphv(又名 BlackCat)勒索软件组织是事件背后的黑手。联邦调查局已经着手调查攻击事件。系列勒索攻击给拉斯维加斯赌场造成巨大的破坏,但最让安全行业人士感到沮丧的是,事件背后攻击组织的社工攻击和攻击策略数月前已都被业界掌握。针对米高梅和凯撒娱乐公司的成功社会工程攻击,引发了业界对攻击者及其利用漏洞相关攻击活动的关注,为何众多的机构败于看似简单的社工攻击。

价值 130亿美元的公司被 10 分钟通话攻破

尽管米高梅尚未证实此次攻击事件是如何发生的,VX-Underground在社交媒体表示,攻击者只是在领英网站上找到了一名米高梅的员工,然后致电IT服务台,利用10 分钟的电话通话中,攻击者成功侵入了米高梅的系统。一家价值 339亿美元的公司被一通10分钟的电话击败。

Phosphorus 首席战略官索努·尚卡尔 (Sonu Shankar)也证实:从公开信息看,攻击似乎是通过传统的社会工程攻击实施的——攻击者冒充员工,并说服IT帮助台为高特权帐户重置登录凭证和MFA。攻击首先从IT 系统开始,但影响很快蔓延到米高梅的xIoT 网络,包括老虎机、客房电子钥匙、ATM机、销售点终端,甚至可能停车系统。

另一方面,在向美国证券交易委员会提交的文件中,凯撒公司宣称,该公司的安全事件是由针对外包 IT 支持供应商的社工攻击引起的,但没有提供进一步细节。勒索软件组织UNC3944也声称对凯撒的攻击负责,据报道攻击可能早在 8 月 27 日就开始了。凯撒宣称,已经采取了措施,确保外包 IT 支持供应商实施补救措施,以防止未来可能的威胁与攻击。为了避免米高梅的类似损失和遭遇,凯撒选择了向勒索者支付赎金。

米高梅和 BlackCat/ALPHV 之间的谈判一直在进行中。攻击者宣称窃取了数TB的数据,并保持对米高梅部分基础设施的访问权限,同时威胁要实施新的攻击,除非米高梅最终同意支付赎金。

针对两家博彩公司攻击都是利用身份管理供应商 Okta发起的,黑客使用Okta技术作为访问媒介。在得知 BlackCat/ALPHV 潜伏在其 Okta 代理服务器上后,米高梅已经关闭了其Okta 服务。但黑客在声明中表示,他们仍然存在于米高梅网络中。

Okta公司表示,其美国客户报告了一种一致的攻击模式:黑客冒充受害企业员工,然后说服IT服务台为其提供重复访问权限。

据派拓网络(PANW) Unit 42 工程副总裁兼首席技术官迈克尔•斯科尔斯基(Michael Sikorski)也证实,攻击组织UNC3944擅长给受害者打电话,说服其访问恶意网站或者欺骗IT服务台重制密码。“他们在追求目标时有条不紊,攻击策略高度灵活,会毫不犹豫地快速转换策略。”

在今年6月的一份报告中,Unit 42研究人员表示:UNC3944的武器库丰富,从娴熟的社会工程和网络钓鱼攻击,到利基渗透测试和取证工具,使得该攻击组织比强大的现代网络防御计划更具优势。

针对社工攻击的影响,南内华达反恐中心高级情报分析师内特·富达拉(Nate Fudala)表示,对任何网络来说,最大的威胁是用户,是你和我!不是系统本身,而是使用它的人。

每一分钟都在赔钱

网络攻击导致的混乱持续一周,令米高梅和凯撒公司遭受巨大的财务损失。由于酒店预订和博彩系统持续多日瘫痪,“这是一个非常昂贵的攻击,米高梅每分钟都在赔钱。”

勒索软件组织声称,已经加密了米高梅100 多个 ESXi 虚拟机管理程序,并从米高梅(MGM)和凯撒娱乐(CZR.O)的系统中窃取了6TB的数据。凯撒公司的文件透露,攻击者利用针对IT 外包供应商的社会工程攻击,获取了凯撒的重要数据,包括大量会员的驾驶执照号码和/或社会保障号码。黑客组织在网站上警告,如果与米高梅不能达成协议,将会发起更多的攻击。

社交媒体上发布的被关闭老虎机照片

酒店和赌场业掌握大量客户的个人和财务数据,正在越来越多地成为利润丰厚的黑客攻击目标。2023年针对博彩行业的网络攻击激增。黑客不仅破坏酒店与赌场的计算机系统,还窃取敏感信息并威胁要披露这些信息,除非支付赎金。

2022年对洲际酒店集团的网络攻击破坏了其特许经营商的预订和其他系统。万豪国际集团2018年披露网络攻击,泄露了旗下喜达屋超过3亿客人的数据,包括护照号码和支付卡等敏感细节。

年轻而危险的攻击者

当米高梅努力恢复系统之时,ALPHV/BlackCat 正忙着发布另一名攻击受害者——半导体制造商 Seiko——的2.5TB 被盗数据。针对该公司的攻击于 8 月被公开。

ALPHV /BlackCat勒索软件团伙自 2021 年以来一直存在,以勒索软件即服务 (RaaS) 模式运作,以使用 Rust 编程语言而闻名。根据 Microsoft 的资料, ALPHV/BlackCat 还与 Conti、LockBit和 REvil等其他勒索软件组织密切合作,并与 Darkside 和 Blackmatter 网络犯罪集团有联系。网络安全分析师 ANOZR WAY 称,2022 年该组织约占所有勒索攻击的 12%。

派拓网络(PANW) Unit 42 工程副总裁兼首席技术官迈克尔•斯科尔斯基(Michael Sikorski)介绍,提供勒索软件即服务 (RaaS)的BlackCat/ALPHV ,已将此次实施攻击的UNC3944列为其附属组织,向其提供了“工具包”的访问权限,包括勒索软件、技术支持以及对其泄漏网站的访问权限。

作为一个经济利益驱动的攻击组织,UNC3944有多个名字,包括 Scattered Spider、Muddled Libra、Scatter Swine 和 Oktapus。UNC3944的成员由美国和英国黑客组成,一些成员年龄只有 19 岁,至少从 2022 年 5 月开始就一直保持活跃。

谷歌曼迪安特首席技术官 Charles Carmakal表示,与许多成熟勒索软件组织和国家攻击组织相比,UNC3944成员的经验略显不足且年轻,但因许多成员的母语是英语,且是非常高效的社会工程攻击人员,对美国大型组织带来严重的安全威胁。

Critical Start 网络威胁研究高级经理卡利•巩特尔 (Callie Guenther)介绍, UNC3944 专门尝试绕过 Microsoft Defender for Endpoint、Palo Alto Networks Cortex XDR 和 SentinelOne 等安全产品。这一组织利用英特尔以太网诊断驱动程序的旧漏洞(CVE-2015-2291 ),在被攻击设备上植入了较旧且仍易受攻击的版本,使其能够利用此漏洞,而不管系统是否更新。由于设备驱动程序可以直接访问内核,利用其中的缺陷,网络攻击者就可在 Windows 中以最高权限执行代码。

UNC3944不断变化的作案手法,特别是其使用社会工程攻击和“自带易受攻击的驱动程序”(BYOVD) 策略,赋予他们提升 Windows 权限的策略,突显网络威胁环境的多面性。

研究人员发现,UNC3944组织对攻击目标的挑选非常谨慎,重点关注估值在 150 亿美元至 450 亿美元之间的企业,并且不会攻击医院、炼油厂和发电厂。快速致富并争取逃脱惩罚是该团伙的主要目的。

安全人士认为,尽管攻击者通过针对IT帮助台的社工攻击,在网络中提供了立足点,但在网络内的后续行动才是最令人担忧的。攻击者发现并利用未知漏洞,就会放大漏洞的严重性,这表明攻击的复杂程度,以及在网络中移动而不被发现的能力。

未来有哪些教训需要吸取?

针对米高梅和凯撒公司以社工攻击作为入手的勒索攻击,安全专家建议从多个方面加强安全防护。

首先是构建弹性的基础设施,有力维护数据安全。攻击的影响远超博彩行业,这意味着各个行业都须为此类威胁和攻击的可能影响做好准备,提升威胁的可见性,最大程度降低威胁造成的损失。

其次是构建纵深防御的体系。确保关键任务应用受到多层防御和冗余的保护,而不会因一次社工攻击而导致百亿美元企业的业务瘫痪。这一个成本高昂的投入,但从长远来看会带来更安全的环境和更稳定的业务。

第三,企业需要为xIoT系统的安全防范做好准备。米高梅的遭遇说明,任何针对IT系统的攻击都可以快速传播到企业的 xIoT 系统,对企业的业务运营和安全产生真正的影响。

最后,建议立即采取多种措施来防御社工攻击,比如,更新身份验证方式,采用经验证的通信渠道发送的一次性密码等。随着组织 IT 基础设施日益复杂社工攻击的风险不仅针对该公司的员工,还针对外部业务合作伙伴。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。