ALPHV勒索軟體集團承認是駭進MGM Resorts的元兇

WithSecure研究長Mikko Hypponen本周張貼了來自ALPHV（BlackCat）勒索軟體集團外洩網站的一則訊息，指出該集團為駭進米高梅國際酒店集團（MGM Resorts International）的元兇，而且是在MGM Resorts關閉所有Okta Sync伺服器並切斷部分元件的網路服務之後，才在本周一（9/11）於超過100臺的ESXi伺服器上展開勒索軟體攻擊。

圖片來源_Mikko Hypponen

根據ALPHV的描述，它們上周五（9/8）便滲透了MGM Resorts網路，當MGM Resorts察覺ALPHV已潛伏在Okta Agent伺服器上並存取使用者密碼時，MGM Resorts旋即關閉了所有的Okta Sync伺服器，但當時ALPHV已握有其Okta管理權限及Azure租用戶的全球管理權限。到了周日，MGM Resorts進而導入條件限制，封鎖針對Okta環境的所有存取，還切斷了基礎設施中某些關鍵元件的網路。

Okta為美國的身分認證及存取管理業者，提供各種身分管理的產品與服務，也是那斯達克的上市公司。

ALPHV的說明也意味著MGM Resorts的飯店與賭場服務失靈，是為了因應網路攻擊行動而採取的主動措施，並非直接因攻擊所造成。

ALPHV在入侵期間曾多次與MGM Resorts聯繫，卻一直未得到回應，因而在本周一針對逾100臺ESXi伺服器展開勒索軟體攻擊，亦強調它們是在MGM Resorts請求外部資安專家協助後才發動攻擊。

目前MGM Resorts飯店官網已恢復正常，而賭場官網則仍在維護中。