Hinweis zu Cybersecurity-Bedrohungen: Cyberangriffe auf MGM-Resorts

Hinweis: Dieser Beitrag wurde ursprünglich aufSmarterMSP veröffentlicht.

Dieser Hinweis zu Cybersecurity-Bedrohungen befasst sich mit Cyberangriffen auf MGM Resorts, einem 33 Milliarden Dollar schweren Hotel- und Unterhaltungsunternehmen mit Sitz in Las Vegas. Am Montag, dem 11. September 2023, wurde MGM Resorts Opfer eines Ransomware-Angriffs, der über 100 ESXi-Hypervisoren verschlüsselte und eine unbekannte Menge an Daten exfiltrierte. Die Gruppe, die sich zu dem Angriff bekennt, ist eine APT-Gruppe (Advanced Persistent Threat) namens „Scattered Spider“, eine Tochtergesellschaft der ALPHV/Blackcat Ransomware-as-a-Service Operation. MGM war eines von vielen Zielunternehmen am Las Vegas Strip, wobei Caesars Anfang des Monats ein Lösegeld in Höhe von schätzungsweise 30 Millionen US-Dollar zahlte.

Welcher Art ist die Bedrohung?

Am Freitag, den 8. September, hat Scattered Spider Berichten zufolge über Social Engineering Zugang zum MGM-Netzwerk erhalten. Innerhalb eines 10-minütigen Anrufs konnte der Bedrohungsakteur ersten Zugriff auf die MGM-Umgebung herstellen. Nachdem sich der Bedrohungsakteur Zugang verschafft hatte, weitete er seine Rechte aus, um Administratorrechte in OKTA und sogar globale Administratorrechte für den Azure-Mandanten von MGM zu erlangen, wobei er nebenbei Passwörter sammelte und ablegte.

Als Reaktion auf den Verstoß versuchte das Unternehmen (erfolglos), den Netzwerkzugriff auf sensible Geräte zu sperren. Nachdem es sich entschieden hatte, das Lösegeld nicht zu zahlen, setzte Scattered Spider am Sonntag, den 10. September, die Ransomware BlackCat ein und verschlüsselte über 100 ESXi-Hypervisoren, was zu noch mehr Zerstörung und Störungen führte. Scattered Spider behauptet, sie hätten MGM als Reaktion auf ihr angebliches Insiderhandelsverhalten gehackt.

Warum sollte man aufmerksam sein?

Diese Veranstaltung unterstreicht die Bedeutung der Schulung des Cybersecurity-Bewusstseins für alle Mitarbeiter. Schon ein kleiner Fehler eines einzelnen Nutzers führte zu erheblichen finanziellen und Reputationsschäden. Um ähnliche Vorfälle zu verhindern, sollten Unternehmen MFA und, was noch wichtiger ist, eine strenge Überwachung der Authentifizierung und Autorisierung einführen. Darüber hinaus hat MGM bei der Reaktion auf den Vorfall das Ausmaß der Kompromittierung nicht erkannt. Dies führte zu einer unvollständigen Beseitigung der Bedrohung. Um die Reaktion auf Vorfälle zu verbessern, sollten Unternehmen einen umfassenden Plan zur Reaktion auf Vorfälle entwickeln, die Infrastruktur dokumentieren und Table-Top-Übungen durchführen.

Welche Empfehlungen haben Sie?

Barracuda MSP empfiehlt die folgenden Maßnahmen, um die allgemeine Sicherheitslage und -vorsorge zu verbessern:

• Setzen Sie eine proaktive Überwachung aller gängigen Angriffsflächen ein, insbesondere für Cloud-Services und interne Dienste, um Anzeichen einer Kompromittierung zu erkennen.
• Implementieren Sie MFA für alle Benutzer, ob privilegiert oder nicht,
• Führen Sie Schulungen zur Stärkung des Risikobewusstseins durch, insbesondere für Mitarbeiter, von denen erwartet wird, dass sie Anrufe erhalten, wie z. B. Helpdesk-Personal.

Referenzen

Ausführlichere Informationen zu den Empfehlungen finden Sie unter den folgenden Links:

• https://www.reddit.com/r/cybersecurity/comments/16iubsc/alphv_blackcat_just_released_an_annoucement_about/
• https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/
• https://www.darkreading.com/attacks-breaches/-scattered-spider-mgm-cyberattack-casinos

Bei Fragen wenden Sie sich bitte an unser Security Operations Center.