كشفت شركة Caesars Entertainment، المشغلة لكازينو Caesars Palace الشهير في لاس فيغاس، أنها دفعت مبلغًا كبيرًا من المال لمهاجميها في أعقاب هجوم برنامج الفدية الأخير، والذي ربما كان من عمل نفس جهة التهديد التي اخترقت منتجعات MGM المنافسة. باستخدام برنامج الفدية ALPHV/BlackCat.
في الايداع وقالت شركة Caesars Entertainment التي قدمت إلى هيئة الأوراق المالية والبورصة الأمريكية (SEC)، إنها أصبحت على علم بالحادث في البداية بعد تحديد نشاط مشبوه على شبكتها. وجد التحقيق اللاحق، الذي انتهى في 7 سبتمبر، أن المنظمة قد تم اختراقها من خلال هجوم الهندسة الاجتماعية على مورد دعم تكنولوجيا المعلومات الخارجي.
لم تتأثر عملياتها التي تواجه العملاء والفنادق وخدمات الألعاب عبر الإنترنت والهواتف المحمولة، ومع ذلك، وجدت شركة Caesars Entertainment أن المهاجم كان قادرًا على سرقة نسخة من قاعدة بيانات برنامج الولاء الخاص بها، بما في ذلك رخصة القيادة وأرقام الضمان الاجتماعي لآلاف الضيوف و المقامرين، على الرغم من عدم وجود دليل حاليًا على سرقة أي بيانات مالية. وهي بصدد إخطار الضحايا.
ومضت شركة Caesars Entertainment في الإدلاء ببيان يشير بقوة إلى أنها تفاوضت ودفعت على الأقل جزءًا من الفدية التي طلبها مهاجمها.
وقالت: “لقد اتخذنا خطوات لضمان حذف البيانات المسروقة من قبل جهة غير مصرح بها، على الرغم من أننا لا نستطيع ضمان هذه النتيجة. نحن نراقب الويب ولم نر أي دليل على أنه تمت مشاركة البيانات أو نشرها أو إساءة استخدامها بأي شكل آخر.”
وبحسب التقارير، تم دفع الفدية ربما كان يصل إلى 15 مليون دولار، تم التفاوض على تخفيضها من 30 مليون دولار، على الرغم من أن هذا غير مؤكد.
ومع ذلك، فإن القبول الواضح بدفع الفدية، والذي يتعارض مع أفضل الممارسات المقبولة، قد يزيد من المتاعب لشركة الترفيه العملاقة، نظرا للسياسات التنظيمية الصارمة التي ينفذها مكتب مراقبة الأصول الأجنبية التابع للحكومة الأمريكية (OFAC). منذ ثلاثة أعوام، مما جعل إجراء دفعات برامج الفدية أو تسهيلها يمثل خطر فرض عقوبات محتملة بموجب القانون الأمريكي.
ممثل تهديد عالي المستوى
لم تكشف شركة Caesars Entertainment عن أي تفاصيل عن المجموعة التي ابتزتها، ولكن نظرًا للحادث شبه المتزامن الذي أثر على جيرانها في منتجعات MGM – وحقيقة أن كلا الحادثين يبدو أنهما قد بدأا عبر الهندسة الاجتماعية – فقد تم ربط الهجوم على نطاق واسع بـ ممثل التهديد يتم تتبعه بواسطة Google Cloud’s Mandiant باسم UNC3944، باستخدام خزانة ALPHV/BlackCat.
لاحظ أنه لا يوجد دليل قاطع على تورط Okta في الأحداث التي وقعت سواء في منتجعات MGM أو Caesars Entertainment، على الرغم من وجود موجة جديدة من هجمات الهندسة الاجتماعية ضد عملائها. تم الإبلاغ عنه في وقت سابق من هذا الشهر و ادعاء لا أساس له بعد وقد تم في هذا الصدد أولئك الذين يزعمون أنهم وراء هجوم MGM. اتصلت Computer Weekly بـ Okta للتعليق.
بدأت عصابة UNC3944 الشهيرة في تنفيذ هجمات الهندسة الاجتماعية عبر الهاتف وهجمات التصيد الاحتيالي عبر الرسائل النصية القصيرة (Smishing)، ولكن وفقًا لأحدث معلومات استخباراتية من Mandiant، فقد ركزت على نشر برامج الفدية في صيف عام 2023، وفي هذه العملية وسعت استهدافها إلى ما هو أبعد من صناعة التكنولوجيا. لتشمل الشركات في قطاعات الترفيه والضيافة والإعلام والتجزئة.
كما أنها أصبحت أكثر تركيزًا على سرقة البيانات الحساسة لأغراض الابتزاز، وفي تغيير للبرنامج المقرر، قد لا يكون مقرها فعليًا في روسيا – فهي تُظهر فهمًا كفؤًا للممارسات التجارية الغربية ومن المحتمل أن يكون العديد من الأعضاء من الناطقين باللغة الإنجليزية.
وقال مانديانت إن المجموعة تعمل “بوتيرة تشغيلية عالية للغاية”، وتصل إلى الأنظمة الحيوية وتسرق كميات كبيرة من البيانات بسرعة كبيرة. قد يكون هذا العامل مصممًا “لإرباك” فرق الاستجابة الأمنية.
بعد الحصول على وصول أولي عبر الهندسة الاجتماعية، يستعين UNC3944 بخدمات الوكيل السكنية التجارية للوصول إلى ضحاياهم من نفس المنطقة الجغرافية، في محاولة لخداع أدوات المراقبة التي تبحث عن حركة مرور مشبوهة من مكان آخر، والبرامج الشرعية بما في ذلك أدوات الوصول عن بعد.
ويخصص نشطاؤها أيضًا موارد كبيرة لاستخراج المعلومات التي قد تساعدهم على تصعيد امتيازاتهم والحفاظ على استمراريتها، وغالبًا ما يستهدفون أدوات إدارة كلمات المرور وأنظمة إدارة الوصول المميز (PAM) للقيام بذلك.
لقد لوحظ بشكل متكرر إنشاء أجهزة افتراضية غير مُدارة (VMs) في بيئات الضحايا لشن الهجمات – في بعض الحالات يتم إنشاء هذه الأجهزة الافتراضية داخل البيئات السحابية للضحايا ويمكن الوصول إليها عبر الإنترنت.
“نتوقع أن تستمر عمليات التطفل المتعلقة بـ UNC3944 في استخدام أدوات وتقنيات وتكتيكات متنوعة لتحقيق الدخل حيث تحدد الجهات الفاعلة شركاء جدد وتتنقل بين المجتمعات المختلفة”
الباحثين الماندين
عندما يحين وقت نشر خزانة برامج الفدية، يحب UNC3944 استهداف الأجهزة الافتراضية المهمة للأعمال والأنظمة الأخرى لإحداث أكبر قدر ممكن من الألم، وزيادة الضغط من خلال ترك ملاحظات تهديد على الأنظمة المخترقة، وقصف المديرين التنفيذيين بالرسائل النصية ورسائل البريد الإلكتروني، و اختراق قنوات الاتصال الداخلية المستخدمة للاستجابة للحوادث.
وقال باحثو مانديانت: “يعد UNC3944 تهديدًا متطورًا استمر في توسيع مهاراته وتكتيكاته من أجل تنويع استراتيجيات تحقيق الدخل بنجاح”.
“نتوقع أن تستمر الجهات الفاعلة في مجال التهديد في تحسين مهاراتها التجارية بمرور الوقت وقد تستفيد من المجتمعات السرية للحصول على الدعم لزيادة فعالية عملياتها.
“من المحتمل أن النجاحات الأولية التي حققها UNC3944 شجعته على توسيع نطاق TTPs ليشمل المزيد من الهجمات التخريبية والمربحة، بما في ذلك برامج الفدية والابتزاز. ومن المعقول أن تستخدم جهات التهديد هذه علامات تجارية أخرى لبرامج الفدية و/أو تدمج استراتيجيات إضافية لتحقيق الدخل لتعظيم أرباحها في المستقبل.
وأضافوا: “نتوقع أن تستمر عمليات التطفل المتعلقة بـ UNC3944 في استخدام أدوات وتقنيات وتكتيكات متنوعة لتحقيق الدخل حيث يحدد الممثلون شركاء جدد ويتنقلون بين المجتمعات المختلفة”.
