Об атаках на MGM и Caesars уже известно всем, но как преступникам это удалось?

Две ведущие развлекательные корпорации Лас-Вегаса, MGM и Caesars, столкнулись с масштабными хакерскими атаками. Системы MGM были отключены во всех 31 курортных комплексах, в то время как Caesars заплатила злоумышленникам многомиллионную сумму, чтобы избежать подобной участи.

Согласно источникам, атаки были организованы хакерской группой Scattered Spider ( в партнерстве с ALPHV, также известной как BlackCat). Эта группа, в которую входят граждане США и Великобритании, начала свою активность в мае 2022 года.

«Методы социальной инженерии, которые они используют, отличаются высоким уровнем сложности. Эти хакеры специализируются на голосовом фишинге, нацеленном на службы поддержки, колл-центры и даже операционные центры безопасности», — отмечает Стивен Эрвин, старший консультант в компании TrustedSec.

Различные методы социальной инженерии — еще одна «фишка» Scattered Spider. Фишинговые кампании в основном проводятся через Telegram, SMS и SIM-свопинг.

Для первоначального проникновения в систему используется двухфакторная аутентификация (MFA). Жертве отправляют множество запросов на подтверждение идентичности. Хакеры рассчитывают, что навязчивые уведомления будут раздражать и пользователь в итоге согласится ввести свои данные.

Кроме того, злоумышленники эксплуатируют известные уязвимости, связанные с драйверами Ethernet-карт Intel, чтобы проводить атаки типа DoS («отказ в обслуживании»). Одна из таких уязвимостей — CVE-2015-2291 .

После успешного проникновения в систему хакеры способны быстро перебираться по сети, применяя украденные учетные данные или токены для атаки на облачные ресурсы.

«Показав высокую эффективность в методах проникновения, они быстро переходят к установке вымогательного ПО или компрометации данных», — подчеркивает Хуан Перес, еще один исследователь в компании TrustedSec.

Альянс Scattered Spider и ALPHV/BlackCat позволяет им расширять свои возможности. Есть информация, что Scattered Spider – это подразделение BlackCat, но ее достоверность экспертам пока что не удалось проверить.

Вирус-вымогатель BlackCat впервые был обнаружен в 2021 году. Эта группировка занимается разработкой и продажей вредоносного ПО в формате «вымогательство как услуга» (RaaS). Для его создания используется язык программирования Rust.

Некоторым из хакеров, предположительно, всего по 19 лет, однако их активность и профессионализм вызывают серьезную обеспокоенность среди экспертов по кибербезопасности.

Источник: securitylab