أكبر الدروس المستفادة من هجوم MGM Ransomware
في 11 سبتمبر، نشرت شركة MGM Resorts International أخبار عن قضية الأمن السيبراني على X (تويتر سابقًا). وفي الأيام التالية، أصبحت الحادثة أكثر وضوحًا – شركة MGM Resorts International، وهي شركة ضيافة تمتلكها 31 فندق وكازينوهات في جميع أنحاء العالم، كان ضحية لهجوم الفدية.
قدمت الشركة طلبا نموذج 8 ك تقديم بيان موجز يردد فيه كلماتها الأولية بشأن X. وعلى مدار الأيام العديدة التالية، أصدرت الشركة تحديثات بشأن X، مما يوفر تأكيدات بأنها كانت تعمل على حل الحادث وتسعى جاهدة لمنح الضيوف إمكانية الوصول إلى خدماتها.
ما الذي يمكن أن يتعلمه قادة الأمن السيبراني وأصحاب المصلحة الآخرين في المؤسسات من هجوم برامج الفدية البارز هذا؟
الهندسة الاجتماعية هي تكتيك فعال
في 12 سبتمبر، نسبت مجموعة vx-underground، وهي مجموعة من التعليمات البرمجية المصدرية للبرامج الضارة ومنصة لتبادل المعلومات، الهجوم إلى مجموعة برامج الفدية ALPHV، المعروفة أيضًا باسم Black Cat. في مشاركة Xوتشير إلى أن المجموعة تمكنت من الوصول ببساطة عن طريق العثور على موظف على LinkedIn والاتصال بمكتب المساعدة.
يُعرف هذا التكتيك باسم التصيد الصوتي أو التصيد الاحتيالي. يمكن للمهاجمين استخدام التصيد الاحتيالي من أجل “… الحصول على المصادقة الثنائية لتلك الحسابات حتى يتمكنوا من الدخول إلى البنية التحتية لشركتهم والتحرك أفقيًا من هناك،” جاستن ألبريشت، المدير العالمي لذكاء تهديدات الأجهزة المحمولة في منصة حماية البيانات والأمن السحابي. انتبه“، يقول InformationWeek في مقابلة عبر الهاتف.
“استنادًا إلى TTPs الخاصة بهم [tactics, techniques and procedures] ويضيف: “والطريقة التي نعرف أنهم يعملون بها هي طريقة نموذجية جدًا للوصول إلى المنظمات وربما ما استخدموه هنا”.
يُطلق على Scattered Spider أسماء أخرى، بما في ذلك Oktapus وScatter Swine. حققت المجموعة نجاحًا سابقًا وكاسحًا باستخدام تكتيكات الهندسة الاجتماعية. وفي عام 2022، تم ربط أوكتابوس بالهندسة الاجتماعية الهجوم الذي استهدف Twilio وCloudflare. وقد حصل الهجوم على ما يقرب من 10000 مجموعة من بيانات اعتماد Okta مع تأثير مضاعف اجتاح أكثر من 130 منظمة أخرى في الهجوم. استخدمت المجموعة برنامج الفدية ALPHV في هجوم MGM.
الجهات الفاعلة في مجال التهديد تتبنى الاحتراف
تركز مجموعات برامج الفدية بشكل متزايد على العلامات التجارية والسمعة، وفقًا لفرحات ديكبيك، رئيس قسم الأبحاث في شركة برمجيات إدارة مخاطر الطرف الثالث. طائرة ورقية سوداء. “عندما ظهرت برامج الفدية لأول مرة، كانت الهجمات غير معقدة نسبيًا. على مر السنين، لاحظنا ارتفاعا ملحوظا في قدراتهم وتكتيكاتهم، “قال لمجلة InformationWeek في مقابلة عبر الهاتف.
يعد التعاون بين مجموعات مثل Scattered Spider وALPHV مؤشرًا على هذه الاحترافية المتزايدة. علاوة على ذلك، أصدرت ALPHV إصدارًا أ إفادة تفاصيل وصولها إلى أنظمة MGM في 14 سبتمبر.
وأعربت الجماعة في البيان عن استيائها من الشائعات حول أفعالها والأشخاص الذين يقفون وراء هجومها. “لم نحاول التلاعب بماكينات القمار الخاصة بشركة MGM لإنفاق الأموال لأن القيام بذلك لن يكون في مصلحتنا وسيقلل من فرص التوصل إلى أي نوع من الصفقات.”
ودعت المجموعة أيضًا إلى أن: “الشائعات حول اقتحام مراهقين من الولايات المتحدة والمملكة المتحدة لهذه المنظمة لا تزال مجرد شائعات. نحن ننتظر شركات الأمن السيبراني التي تحظى بالاحترام ظاهريًا والتي تواصل تقديم هذا الادعاء للبدء في تقديم أدلة قوية لدعمها.
ويشير ديكبيك أيضًا إلى أن الاختيار الدقيق للأهداف من قبل مجموعات برامج الفدية يعد مؤشرًا على زيادة الاحترافية. “هذه المجموعات تقوم بواجبها المنزلي. لديهم الموارد. ويضيف: “إنهم يكتسبون أدوات استخباراتية… ويحاولون معرفة أهدافهم”.
على الرغم من أن برامج الفدية مربحة، إلا أن المال ليس هو الهدف الوحيد. إن اختيار أهداف رفيعة المستوى، مثل MGM، يساعد هذه المجموعات على بناء سمعتها، وفقًا لديكبيك.
إن تداعيات هجوم برامج الفدية باهظة الثمن
كان التأثير المباشر للهجوم الإلكتروني على عمليات MGM كبيرًا. تدعي ALPHV في بيانها أن MGM أغلقت خوادم Okta Sync الخاصة بها عندما اكتشفت وجود المجموعة. لكن جهة التهديد احتفظت بامتيازات المسؤول. وبعد الانتظار لمدة يوم، شنت المجموعة هجمات الفدية، بحسب البيان.
في الأيام التي أعقبت الهجوم، كانت أجزاء مختلفة من عمليات MGM غير متصلة بالإنترنت. وذكرت بلومبرج ذلك المفاتيح الرقمية لغرف الفنادق وماكينات القمار لم تعمل. هذا النوع من التوقف مكلف. ويمكن أيضًا أن يلعب التقاضي المحتمل من طرف ثالث والاستثمار في المزيد من ضوابط الأمن السيبراني دورًا في زيادة النفقات.
بالإضافة إلى ذلك، يمكن أن يؤثر الهجوم الإلكتروني على التصنيف الائتماني للشركة. “أصدرت وكالة موديز بيانًا مفاده أن هذا الحدث السيبراني قد يتسبب في خفض تصنيفها الائتماني التصنيف الائتماني لشركة MGM“، والذي أعتبره ضررًا على السمعة لأنه قد يؤثر على قدرة MGM على الاقتراض،” ألين بلونت، قائد المنتجات السيبرانية والتكنولوجية الوطنية لشركة الوساطة والاستشارات استراتيجيات المخاطر، المشاركات عبر البريد الإلكتروني.
قد يؤدي عدم رضا العملاء عن تدافع الشركة للعودة إلى العمليات الطبيعية إلى الإضرار بالسمعة أيضًا. “لقد رأينا هذا يحدث عبر وسائل التواصل الاجتماعي حيث نشر العديد من عملاء MGM استيائهم على X وInstagram. يقول بلونت: “قد يقرر هؤلاء العملاء عدم الحضور إلى موقع آخر لـ MGM”.
وبينما تتزايد التكاليف بالنسبة لشركة MGM، يبدو أنه لن تتم إضافة دفعات برامج الفدية إلى القائمة في هذه المرحلة. وأشارت ALPHV في بيانها: “نعتقد أن MGM لن توافق على التعامل معنا”.
كانت شركة Caesars Entertainment، وهي شركة أخرى للفنادق والكازينو، ضحية لهجوم الهندسة الاجتماعية قبل أيام قليلة من MGM. “في 7 سبتمبر 2023، قررنا أن الممثل غير المصرح به حصل على نسخة من، من بين بيانات أخرى، قاعدة بيانات برنامج الولاء لدينا، والتي تتضمن أرقام رخصة القيادة و/أو أرقام الضمان الاجتماعي لعدد كبير من الأعضاء في قاعدة البيانات”، وفقًا لها 8 ك. قيصر دفعت 15 مليون دولار، بحسب سي إن بي سي. وذكرت وكالة بلومبرج أن نفس الجهات الفاعلة التهديد كانوا وراء هجمات قيصر و MGM.
إذا لم تدفع MGM في نهاية المطاف، فسوف تحتاج إلى النظر في البيانات التي قام فاعلو التهديد بتسريبها وما سيتم كشفه أو بيعه.
من المرجح أن تستمر هجمات برامج الفدية
الربح من برامج الفدية انخفض في عام 2022لكن هذا لا يعني أن الجهات التهديدية ستتخلى عن هذه الهجمات. تعد المليارات التي تم الحصول عليها من مدفوعات برامج الفدية حتى الآن حافزًا كبيرًا لمواصلة البحث عن ضحايا جدد لابتزازهم. يقول ديكبيك: “لقد اجتذب هذا المزيد من الجهات الفاعلة الأكثر تنظيمًا ومهارة إلى هذا المجال، مما أدى إلى تحويل ما كان يمكن أن يكون هواة أو قراصنة صغار إلى منظمات متطورة ومنظمة”.
بالإضافة إلى ذلك، فإن التوافر المتزايد لبرامج الفدية كخدمة يمكّن جهات التهديد غير الماهرة نسبيًا من إطلاق هذه الأنواع من الهجمات.
مع ظهور المزيد من هجمات برامج الفدية في الأفق، تحتاج المؤسسات إلى التفكير في نقاط ضعفها وكيفية تقليل المخاطر. يؤكد ألبريشت على أهمية الاستعداد للهجوم. ويقول: “يجب أن تكون قادرًا على التصدي لهجمات الهندسة الاجتماعية هذه باستخدام العمليات والأدوات التقنية بالإضافة إلى تدريب الموظفين”.