Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Grupo Blackcat conta como foi o ataque ao MGM Resorts

Share on linkedin
Share on twitter
Share on facebook

Os cibercriminosos que operam o ransomware BlackCat/Alphv publicaram ontem uma “declaração” contando como foi o ataque e “corrigindo” informações publicadas pela empresa. O horário da publicação é GMT. Esta é a íntegra do comunicado, obtido com exclusividade pelo In_Cyber.

Declaração sobre MGM Resorts International: esclarecendo as coisas
14/09/2023, 19:46:49

Fizemos várias tentativas de entrar em contato com a MGM Resorts International, “MGM”. Conforme relatado, a MGM desligou computadores dentro de sua rede em resposta a nós. Pretendemos esclarecer as coisas.

Nenhum ransomware foi implantado antes da desativação inicial de sua infraestrutura pelas equipes internas.

A MGM tomou a decisão precipitada de desligar todos e cada um de seus servidores Okta Sync depois de saber que estávamos à espreita em seus servidores Okta Agent, farejando senhas de pessoas cujas senhas não podiam ser quebradas a partir de seus hash dumps de controladores de domínio. Resultando no Okta completamente bloqueado. Enquanto isso, continuamos a ter privilégios de superadministrador no Okta, juntamente com privilégios de administrador global no locatário do Azure. Eles tentaram nos despejar depois de descobrirem que tínhamos acesso ao ambiente Okta deles, mas as coisas não saíram conforme o planejado.

Na noite de domingo, a MGM implementou restrições condicionais que barraram todo o acesso ao seu ambiente Okta (MGMResorts.okta.com) devido a capacidades administrativas inadequadas e manuais de resposta a incidentes fracos. A rede deles está infiltrada desde sexta-feira. Devido à falta de compreensão dos engenheiros de rede sobre como a rede funciona, o acesso à rede foi problemático no sábado. Eles então tomaram a decisão de “desligar” componentes aparentemente importantes de sua infraestrutura no domingo.

Depois de esperar um dia, lançamos com sucesso ataques de ransomware contra mais de 100 hipervisores ESXi em seu ambiente em 11 de setembro, após tentar entrar em contato, mas sem sucesso. Isso aconteceu depois que eles trouxeram empresas externas para ajudar na contenção do incidente.

Em nosso bate-papo com vítimas do MGM, um usuário apareceu repentinamente algumas horas após a implantação do ransomware. Como eles não estavam respondendo aos nossos e-mails com o link especial fornecido (para evitar que outro pessoal de TI lesse os chats), não conseguimos identificar ativamente se o usuário no chat da vítima estava autorizado pela Liderança da MGM a estar presente.

Postamos um link para download de todo e qualquer material exfiltrado até 12 de setembro, no dia 13 de setembro na mesma discussão. Como o indivíduo na conversa não se originou do e-mail, mas sim da nota do hipervisor, como já foi indicado, não foi possível confirmar se ele tinha permissão para estar ali.

Para se proteger contra qualquer vazamento desnecessário de dados, adicionamos uma senha ao link de dados que fornecemos. Duas senhas pertencentes a executivos seniores foram combinadas para criar a senha. O que foi claramente sugerido a eles com asteriscos na maior parte dos caracteres da senha para que os indivíduos autorizados pudessem visualizar os arquivos. As identificações dos funcionários também foram fornecidas aos dois usuários para fins de identificação.

O usuário tem entrado consistentemente na sala de bate-papo a cada várias horas, permanecendo por algumas horas e depois saindo. Cerca de sete horas atrás, informamos ao usuário do chat que, se ele não responder até às 23h59, horário do leste dos EUA, publicaremos um comunicado. Mesmo depois de expirado o prazo, eles continuaram visitando sem responder. Não temos certeza se esta atividade é automatizada, mas provavelmente assumiremos que é uma verificação humana.

Não podemos revelar se informações de PII foram vazadas neste momento. Se não conseguirmos chegar a um acordo com a MGM e conseguirmos estabelecer que há informações de PII contidas nos dados exfiltrados, daremos os primeiros passos para notificar Troy Hunt do HaveIBeenPwned.com. Ele é livre para divulgá-lo de maneira responsável, se assim o desejar.

Acreditamos que a MGM não concordará com um acordo conosco. Basta observar seu comportamento de negociação com informações privilegiadas. Você acredita que esta empresa se preocupa com sua privacidade e bem-estar ao visitar um de seus resorts?

Não temos certeza sobre mais ninguém, mas é evidente que nenhum insider comprou ações nos últimos 12 meses, enquanto 7 insiders venderam ações por um total de 33 MILHÕES de dólares. (https://www.marketbeat.com/stocks/NYSE/MGM/insider-trades/). Esta corporação está repleta de ganância, incompetência e corrupção.

Reconhecemos que a MGM está maltratando os clientes do hotel e realmente lamentamos que tenham demorado cinco anos para se recomporem. Outras opções de hospedagem, incluindo cassinos, estão sem dúvida abertas e terão prazer em atendê-lo.

Neste ponto, não temos escolha a não ser criticar o VX Underground por relatar falsamente eventos que nunca aconteceram. Normalmente consideramos as informações deles altamente confiáveis e oportunas, mas não tentamos interferir nas máquinas caça-níqueis da MGM para cuspir dinheiro, porque isso não seria benéfico para nós e diminuiria as chances de qualquer tipo de negócio.

Os rumores sobre adolescentes dos EUA e do Reino Unido invadindo esta organização ainda são apenas isso – rumores. Estamos à espera que estas empresas de segurança cibernética ostensivamente respeitadas, que continuam a fazer esta afirmação, comecem a fornecer provas sólidas para apoiá-la. Começando pelas identidades dos atores, já que eles são muito versados nelas.

A verdade é que estes especialistas têm dificuldade em delimitar as ações dos vários grupos de ameaças, por isso agruparam-nos. Dois erros não fazem um acerto, pelo que optaram por fazer falsas alegações de atribuição e depois difundi-las para a imprensa quando ainda não conseguem confirmar a atribuição com elevados graus de certeza depois de o fazerem. As tácticas, procedimentos e indicadores de compromisso (TTP) utilizados pelas pessoas que culpam pelos ataques são conhecidos do público e são relativamente fáceis de serem imitados por qualquer pessoa.

O grupo de ransomware ALPHV nunca assumiu, de forma privada ou pública, a responsabilidade por um ataque antes deste ponto. Rumores vazaram da MGM Resorts International por funcionários insatisfeitos ou especialistas externos em segurança cibernética antes desta divulgação. Com base em divulgações não verificadas, os meios de comunicação tomaram a decisão de alegar falsamente que havíamos assumido a responsabilidade pelo ataque antes de nós.

Ainda continuamos a ter acesso a algumas infraestruturas da MGM. Se não for alcançado um acordo, realizaremos ataques adicionais. Continuamos esperando que a MGM crie um par e entre em contato, pois eles demonstraram claramente que sabem onde nos contatar.

No final da declaração, foi enviado um recado ao portal TechCrunch:

Tech Crunch: nem você nem ninguém foi contatado pelo hacker que assumiu o controle da MGM. Da próxima vez, verifique suas fontes mais detalhadamente ou, pelo menos, dê alguma dica do que você faz.