圖片來源: 

MGM Resorts

WithSecure研究長Mikko Hypponen本周張貼了來自ALPHV(BlackCat)勒索軟體集團外洩網站的一則訊息,指出該集團為駭進米高梅國際酒店集團(MGM Resorts International)的元兇,而且是在MGM Resorts關閉所有Okta Sync伺服器並切斷部分元件的網路服務之後,才在本周一(9/11)於超過100臺的ESXi伺服器上展開勒索軟體攻擊。

圖片來源_Mikko Hypponen

根據ALPHV的描述,它們上周五(9/8)便滲透了MGM Resorts網路,當MGM Resorts察覺ALPHV已潛伏在Okta Agent伺服器上並存取使用者密碼時,MGM Resorts旋即關閉了所有的Okta Sync伺服器,但當時ALPHV已握有其Okta管理權限及Azure租用戶的全球管理權限。到了周日,MGM Resorts進而導入條件限制,封鎖針對Okta環境的所有存取,還切斷了基礎設施中某些關鍵元件的網路。

Okta為美國的身分認證及存取管理業者,提供各種身分管理的產品與服務,也是那斯達克的上市公司。

ALPHV的說明也意味著MGM Resorts的飯店與賭場服務失靈,是為了因應網路攻擊行動而採取的主動措施,並非直接因攻擊所造成。

ALPHV在入侵期間曾多次與MGM Resorts聯繫,卻一直未得到回應,因而在本周一針對逾100臺ESXi伺服器展開勒索軟體攻擊,亦強調它們是在MGM Resorts請求外部資安專家協助後才發動攻擊。

目前MGM Resorts飯店官網已恢復正常,而賭場官網則仍在維護中。

熱門新聞

Advertisement