يبدو أن عملية برنامج الفدية ALPHV/BlackCat تقف وراء ملف الهجوم السيبراني المستمر على شركة الضيافة والترفيه الأمريكية MGM Resorts، مما أدى إلى تعطيل العمليات في كازينوهات لاس فيجاس بما في ذلك بيلاجيو، وإكسكاليبور، والأقصر، وماندالاي باي، وإم جي إم جراند، ونيويورك-نيويورك.
تم الكشف عنها لأول مرة بواسطة مجموعة أبحاث البرامج الضارة VX-تحت الأرضزعمت العصابة أنها نفذت هجومًا ناجحًا بالهندسة الاجتماعية ضد أحد موظفي MGM Resorts الذين عثروا عليه على LinkedIn، ثم اتصلت بمكتب مساعدة تكنولوجيا المعلومات التابع للمنظمة للوصول إلى أنظمة الضحية.
“شركة تبلغ قيمتها 33.900.000.000 دولار هُزمت بمحادثة مدتها 10 دقائق” VX-Underground لوحظ في آخر إلى حساب X (تويتر سابقًا).
مع دخول الاضطراب الناجم عن الهجوم السيبراني يومه الخامس، لم تؤكد MGM Resorts أو تنفي هذه المزاعم بعد، ولم تصدر أي بيان آخر باستثناء الاعتراف بأنها حددت “مشكلة” تتعلق بالأمن السيبراني. وقالت إن مواقعها تعمل بشكل طبيعي، على الرغم من أن موقعها الإلكتروني العام لا يزال غير قابل للوصول.
وفقًا لمنافذ أخرى، أبلغ الضيوف في فنادق المجموعة عن مشكلات تتراوح بين الاضطرار إلى تسجيل الوصول باستخدام القلم والورق، ومفاتيح الغرفة لا تعمل – وهو ما نفته منتجعات MGM، وانقطاع الهاتف والتلفزيون والواي فاي داخل الغرفة. وماكينات القمار غير المتوفرة ومشاكل استخدام بطاقات الائتمان والولاء.
وقال تشارلز كارماكال، كبير مسؤولي التكنولوجيا في شركة Mandiant Consulting التابعة لشركة Google Cloud، إن عصابة BlackCat – التي تم تتبعه في تصنيف Mandiant باسم UNC3944 – لا يزال واحدًا من أكثر الجهات التهديدية انتشارًا وعدوانية العاملة حاليًا.
“لقد اكتسبوا مؤخرًا الكثير من الاهتمام بسبب حداثتهم استهداف مؤسسات الضيافة والترفيه،” هو قال. “على الرغم من أن أعضاء المجموعة قد يكونون أقل خبرة وأصغر سنًا من العديد من مجموعات الابتزاز/برامج الفدية متعددة الأوجه والجهات الفاعلة في مجال التجسس على الدولة، إلا أنهم يشكلون تهديدًا خطيرًا للمنظمات الكبيرة.
قال كارماكال: “العديد من الأعضاء يتحدثون الإنجليزية كلغة أصلية وهم مهندسون اجتماعيون فعالون بشكل لا يصدق”. “إنهم مزعجون وعدوانيون بشكل لا يصدق. إنها تتسبب في انقطاع تكنولوجيا المعلومات بعدة طرق لا تتضمن بالضرورة نشر برامج تشفير برامج الفدية.
“ومع ذلك، خلال الأشهر القليلة الماضية، رأيناهم ينشرون برامج تشفير Black Cat في مجموعة فرعية من بيئات الضحايا التي قاموا باختراقها. وهم يستفيدون من البنية التحتية للتشهير بـ ALPHV لعدد قليل من الضحايا الذين يقومون بابتزازهم. إنهم يستفيدون من المهارات التجارية التي تمثل تحديًا للعديد من المؤسسات التي لديها برامج أمنية ناضجة للدفاع ضدها.
تعتبر واحدة من “الأعلى” تهديدات برامج الفدية النشطة، أودت BlackCat بعدد كبير من الضحايا في الأشهر الأخيرة، بما في ذلك بارتس هيئة الخدمات الصحية الوطنية في لندن، و عملاق مستحضرات التجميل إستي لودر.
التركيز على استعادة البيانات
صرح ستيف ستون، رئيس Rubrik Zero Labs، لموقع Computer Weekly أن منتجعات MGM ستركز بشكل كبير على استعادة البيانات لاستعادة القدرات التشغيلية المهمة.
وقال: “ستسترشد حركات الاسترداد هذه إما بالرؤية وتحديد الأولويات وفهم وصول المهاجم الحالي، أو سيتم إجراؤها كأحداث “عمياء”. “ستواجه المؤسسات التي تجري عملية استرداد أعمى صعوبة في فقدان الكثير من البيانات، لأنها قد تتعافى من فترة أطول من اللازم، أو تعيد تقديم المهاجمين إذا كانت نقطة الاسترداد بعد حصول المهاجمين على الوصول.
“يتم توجيه عملية الاسترداد الناجحة وفي الوقت المناسب من خلال اتخاذ قرارات ذكية بشأن تسلسل عملية الاسترداد – لا يمكن استرداد كل شيء مرة واحدة – مما يضمن فقدان المهاجمين إمكانية الوصول من خلال الاستعادة مما قبل الاقتحام، وحدوث الحد الأدنى من فقدان البيانات عن طريق الاسترداد في أقرب وقت ممكن”. الاختراق قدر الإمكان. إن المؤسسات الأكثر نجاحًا في حالات الاسترداد قادرة على الاستفادة من رؤية بياناتها في مخازن غير قابلة للتغيير وغير قابلة للتغيير بالإضافة إلى معرفة التطفل.
لاحظ ستون أنه تاريخيًا، فإن المؤسسات التي وضعت بالفعل خطة للتعافي واختبرتها، دائمًا ما تعود للوقوف على أقدامها بشكل أسرع، حيث يصبح التعافي مجرد مسألة تنفيذ مقابل مجموعة من العمليات – أما تلك التي لا تملكها فسوف تتعرض للعرقلة لفترة أطول بكثير بسبب يجب على فرق تكنولوجيا المعلومات أيضًا إجراء الاكتشاف ورسم خرائط سير العمل أثناء الأزمات، مع انخفاض الرؤية بشكل كبير.
وأضاف أنه على الرغم من أن هجمات الابتزاز المزدوج – التشفير بالإضافة إلى التسلل والابتزاز – أصبحت شائعة منذ عام 2020، إلا أن معظم المنظمات لا تزال غير مستعدة للخطوة الثانية.
وقال: “يمثل هذا تحديًا خاصًا عندما تكون البيئة مشفرة بشكل نشط و/أو تتعرض للتطفل”. “إن القدرة على تقييم ما إذا كانت البيانات قد سُرقت، وما تحتويه تلك البيانات، وكيفية التعامل مع تهديد الابتزاز المحتمل لفقدان البيانات، تثبت أهميتها في عمليات اختراق برامج الفدية الحديثة.”
