Salte para o conteúdo principal
INTELLIGENCE DIGEST

Ataque cibernético da MGM Resorts - da nuvem ao casino

Perturbação generalizada devido a ataques de engenharia social e ransomware

18 de outubro de 2023

Por Rodman Ramezanian - Líder Global de Ameaças na Nuvem

A recente intrusão cibernética que teve como alvo a MGM Resorts International sublinhou questões prementes relacionadas com a proteção de dados sensíveis e as vulnerabilidades expostas que as organizações modernas enfrentam no atual cenário de ameaças.

A MGM Resorts, operadora de vários hotéis e casinos de renome ao longo da emblemática Las Vegas Strip, incluindo o Bellagio, o Aria e o Cosmopolitan, iniciou extensos encerramentos de rede em resposta à intensificação dos ciberataques. Isto levou a perturbações significativas em todas as suas propriedades hoteleiras e casinos, com os hóspedes a depararem-se com problemas que vão desde a indisponibilidade de caixas multibanco e slot machines até ao mau funcionamento dos cartões-chave digitais dos quartos e dos sistemas de pagamento eletrónico.

Os culpados? Cibercriminosos com um talento especial para a engenharia social. Ganharam reconhecimento nos círculos de cibersegurança por uma caraterística única - a sua fluente proficiência na língua inglesa, o que os distingue da maioria dos grupos de cibercrime, cujos conhecimentos de inglês são normalmente insuficientes.

Curiosamente, graças às suas tácticas, técnicas e procedimentos (TTPs) comparáveis, os investigadores da Mandiant detectaram uma correlação entre o Scattered Spider e o grupo de hacking Lapsus$, que partilham composições e abordagens de equipa semelhantes (ver Figura 1).¹

Figura 1. Ligação entre o grupo de pirataria informática Lapsus$ e os actores da ameaça associados aos ataques MGM. (Fonte: Jake Nicastro, Mandiant. 2023)

O seu método de trabalho? Uma manobra de engenharia social habilmente executada abriu caminho para o acesso inicial, utilizando o perfil do LinkedIn de um utilizador sénior da MGM para facilitar a reposição dos pedidos de autenticação multifactor (MFA) através do helpdesk interno.

De acordo com vários relatórios de segurança sobre o assunto, os criminosos estabeleceram persistência na rede da MGM configurando um provedor de identidade (IdP) adicional em seu locatário Okta usando um recurso conhecido como "federação de entrada". Embora este recurso seja normalmente utilizado para ligações e integrações rápidas durante fusões e aquisições organizacionais, neste caso, os autores da ameaça exploraram-no para aumentar o seu domínio sobre as redes das vítimas.

A partir desse momento, os atacantes tomaram conta do Okta da MGM e dos ambientes de nuvem do Microsoft Azure, apoderando-se não só das aplicações geridas pela plataforma de gestão de identidade e acesso (IAM), mas também dos seus activos de nuvem. Mesmo depois que o pessoal de segurança cibernética da MGM desligou a sincronização do servidor Okta, os hackers permaneceram dentro da rede, como confirmado em sua declaração (veja a Figura 2).² Eles afirmaram ter mantido privilégios de super administrador no ambiente Okta da MGM e permissões de Administrador Global para o locatário do Microsoft Azure da MGM.

Figura 2. Declaração do ator da ameaça (ALPHV/Grupo BlackCat Ransomware) (Fonte: Perfil do ALPHV onion)

Em última análise, encriptaram centenas de servidores ESXi, alojando milhares de VMs que suportavam numerosos sistemas de hospitalidade, desencadeando um caos generalizado. Como os hosts ESXi foram encriptados sequencialmente, as aplicações foram caindo sucessivamente. Isto levou a que as slot machines ficassem inoperacionais, as chaves dos quartos de hotel não funcionassem, as reservas de jantar fossem interrompidas, os sistemas de ponto de venda não funcionassem e os hóspedes não conseguissem efetuar o check-in ou o check-out.

Porque é que estes incidentes ocorrem?

Os ataques de ransomware têm tradicionalmente utilizado diversos métodos, como phishing, roubo de credenciais, exploração de vulnerabilidades, entre outros.

A engenharia social, ou mais especificamente neste caso, o vishing (phishing por voz) tornou-se mais eficaz nos últimos anos por várias razões:

  • Técnicas avançadas de falsificação: Os atacantes tornaram-se adeptos da falsificação de números de telefone para fazer parecer que as suas chamadas são provenientes de fontes legítimas. Isto pode levar as pessoas a atender chamadas que, de outra forma, poderiam ignorar.
  • Engenharia social: Os ataques de vishing envolvem frequentemente tácticas convincentes de engenharia social. Os atacantes recolhem informações pessoais de várias fontes - neste caso, o perfil do LinkedIn de um membro sénior da MGM - para tornar as suas chamadas mais convincentes.
  • Facilidade de execução: Os ataques de vishing podem ser executados com competências e recursos técnicos relativamente baixos. Esta acessibilidade significa que um leque mais vasto de agentes de ameaças pode participar em tais ataques.
  • Trabalho remoto: O aumento do trabalho remoto levou a uma maior dependência de chamadas telefónicas e de vídeo para a comunicação. Os atacantes aproveitaram esta oportunidade para explorar o cenário de comunicação em mudança.

Visar as plataformas de IAM é uma tática bem conhecida utilizada pelos agentes de ameaças, proporcionando-lhes um acesso persistente às organizações e expandindo os seus privilégios pelos sistemas, o que resulta em maiores danos. Essa estratégia está longe de ser nova, mas produz um enorme valor para os invasores que buscam pontos de apoio de acesso forte.

Assim que os agentes da ameaça foram descobertos e notados, os servidores de sincronização Okta da MGM foram terminados e a fase de ransomware do ataque estava em curso, graças ao grupo de ransomware BlackCat/ALPHV. O ransomware como serviço (RaaS) é um sector próspero na cadeia de abastecimento criminal. À semelhança das empresas legítimas que dependem de aplicações SaaS, grupos criminosos como o BlackCat/ALPHV oferecem serviços profissionais que complementam as capacidades do atacante original, incluindo o desenvolvimento de malware, serviços de comando e controlo, sites de fuga Tor, suporte de malware e até serviços de negociação com as vítimas.

Ao ver a Caesars Entertainment, a maior cadeia de casinos dos Estados Unidos, pagar cerca de 15 milhões de dólares de resgate após uma grave violação, os grupos de cibercriminosos teriam uma grande motivação para explorar as oportunidades que se lhes deparam.

O que é que pode fazer?

O elemento óbvio da formação em segurança e da vigilância não deve ser ignorado, uma vez que a operacionalização astuta dos dados da vítima nas redes sociais (LinkedIn) por parte do atacante ajudou-o a enganar os operadores do Helpdesk de TI da MGM para obter esse importante vetor de acesso inicial.

Minimizar a exposição e as superfícies de ataque é fundamental quando enfrenta ameaças como estas, que combinam engenharia social e vishing, recolha de credenciais, sequestro de contas na nuvem e, por fim, ransomware. Aqui estão algumas dicas que podem ajudar a desviar ameaças sofisticadas como estas:

  1. Reduza o raio de explosão: Segmente os ativos do sistema interno, seja no local ou na nuvem. Mesmo nos casos em que os agentes de ameaças se fazem passar por pessoas e conseguem entrar com sucesso em ambientes empresariais, se tiver isolado e segmentado os seus recursos utilizando os princípios Zero Trust, estará a restringir drasticamente os seus movimentos e a minimizar a superfície de ataque.
  2. Impeça os utilizadores comprometidos e as ameaças internas: Utilize a inspeção de aplicativos e dados em linha, além da análise comportamental extensiva para identificar e interromper possíveis invasores - sejam eles ameaças externas ou usuários internos com intenção maliciosa.
  3. Minimize a superfície de ataque externa: Ligue diretamente os utilizadores e os pedidos de acesso a aplicações e serviços para restringir o movimento lateral. No caso do ataque da MGM, a movimentação lateral entre o Okta, o Microsoft Azure e, finalmente, os servidores ESXi locais possibilitou o hack.
  4. Evite a perda de dados: Implemente o data loss prevention em linha em todos os potenciais vectores de ameaça e canais de fuga. No caso infeliz de um intruso obter acesso não autorizado, se as suas acções nos seus dados forem impedidas, pode reduzir drasticamente os impactos das violações.
  5. Realize auditorias e avaliações frequentes: Auditorias regulares de cibersegurança avaliam a conformidade e revelam lacunas de conhecimento, bem como destacam pontos fracos e vulnerabilidades que fornecem o importante vetor de acesso inicial para os cibercriminosos.
  6. Eduque continuamente os funcionários: O vishing está a intensificar-se como uma arma forte no arsenal dos atacantes. Muitas pessoas desconhecem que o vishing é um vetor de ameaça, ou que são susceptíveis a ataques de vishing, o que as leva a baixar a guarda quando respondem a chamadas telefónicas. Esta falta de conhecimento pode torná-lo vulnerável à manipulação.


Referências:

Utilize Skyhigh Security?

Rodman Ramezanian

Sobre o autor

Rodman Ramezanian

Líder global de ameaças à nuvem

Com mais de 11 anos de vasta experiência no sector da cibersegurança, Rodman Ramezanian é Consultor de Segurança na Nuvem Empresarial, responsável pelo aconselhamento técnico, capacitação, conceção de soluções e arquitetura em Skyhigh Security. Nesta função, Rodman concentra-se principalmente em organizações do governo federal australiano, de defesa e empresariais.

Rodman é especialista nas áreas de Adversarial Threat Intelligence, Cibercrime, Proteção de Dados e Segurança na Nuvem. É um avaliador IRAP aprovado pela Direção de Sinais Australiana (ASD) e possui atualmente as certificações CISSP, CCSP, CISA, CDPSE, Microsoft Azure e MITRE ATT&CK CTI.

Com sinceridade, Rodman tem uma forte paixão por articular assuntos complexos em termos simples, ajudando o cidadão comum e os novos profissionais de segurança a compreender o quê, porquê e como da cibersegurança.

Destaques do ataque

  • Os atacantes recolheram dados através do LinkedIn e visaram o pessoal sénior da MGM que provavelmente teria privilégios elevados na sua infraestrutura Okta.
  • Utilizaram estas informações para realizar ataques de vishing (phishing de voz) contactando os serviços de assistência técnica de TI da MGM, fazendo-se passar pela(s) vítima(s) privilegiada(s) e pedindo ao serviço de assistência técnica de TI para repor os pedidos de autenticação multifactor do(s) utilizador(es) vítima(s).
  • Após o vishing bem-sucedido, os agentes da ameaça comprometeram os sistemas Okta da MGM, obtendo privilégios de super administrador para os seus ambientes Okta e Microsoft Azure.
  • Os perpetradores alegaram ter exfiltrado uma quantidade não especificada de dados da rede da MGM uma vez dentro.
    Em resposta às equipas de resposta a incidentes da MGM que terminaram os servidores de sincronização Okta para eliminar os atacantes, a atenção foi desviada para várias centenas de servidores ESXi da MGM que alojavam milhares de VMs. Estas VMs suportavam centenas de sistemas e milhares de dispositivos amplamente utilizados nas suas instalações de hotelaria e jogo.
  • Isto desencadeou um efeito dominó. Como os hosts ESXi foram encriptados sequencialmente, as aplicações caíram numa reação em cadeia. As chaves dos quartos de hotel ficaram inoperacionais, as reservas de jantar foram interrompidas, os sistemas de ponto de venda não conseguiam processar pagamentos, os hóspedes não conseguiam efetuar o check-in ou o check-out e as slot machines ficaram totalmente inacessíveis.