Кому верить, если даже версии представителей банд сильно разнятся.
Две преступные хакерские группировки недавно были связаны с атаками на двух известных операторов отелей и казино Лас-Вегаса, в результате чего одному из них пришлось знатно повозиться с восстановлением доступа к своим системам, а другому и вовсе заплатить многомиллионный выкуп .
Кто именно стоит за атаками на MGM Resorts и Caesars Entertainment пока остаётся неясным наверняка, но ко взломам определённо причастны две хакерские группы: ALPHV (она же BlackCat) и Scattered Spider (она же UNC3944).
Человек, утверждающий, что является членом Scattered Spider, связался с зарубежным изданием CyberScoop и сообщил, что их группа несёт ответственность за атаку на MGM, но отрицает ответственность за взлом Caesars.
В свою очередь, группировка ALPHV позже тоже взяла на себя ответственность за атаку на MGM, опубликовав соответствующее заявление на своём сайте утечки.
Представитель Scattered Spider сообщил, что их группировка на самом деле является подгруппой ALPHV. Достоверная ли эта информация, судить сложно, ведь ALPHV не упоминала никаких дочерних группировок в своём заявлении , опубликованным независимым исследователем безопасности на GitHub.
Если с атакой на MGM Resorts всё теперь стало более-менее понятно, то кто атаковал Caesars Entertainment пока неясно. Ранее приближенные к инциденту источники утверждали, что это тоже дело рук Scattered Spider, но почему тогда представитель этой группировки открестился от инцидента?
В отчёте , поданном в четверг в регулирующие органы, Caesars подтвердила, что выявила «подозрительную активность в своей сети, возникшую в результате атаки методом социальной инженерии на аутсорсингового поставщика IT-поддержки».
По данным компании, злоумышленники получили копию базы данных программы лояльности, которая включает номера водительских прав и/или номера социального страхования для значительного числа участников в базе данных».
Caesars заявила, что сделала всё возможное, чтобы украденные данные были удалены неавторизованным лицом, хотя компания и не может этого гарантировать. Вероятнее всего, речь тут идёт об уплате выкупа.
Ни Caesars, ни MGM не ответили на многочисленные запросы о комментариях. ФБР признало, что ведёт расследование обоих инцидентов, но также отказалось от дальнейших комментариев.
По состоянию на 15-ое сентября сайт MGM всё ещё не работает, что наводит на мысль, что компания всё ещё восстанавливает свои системы. И вряд ли MGM перечисляла выкуп злоумышленникам, как это сделала компания Caesars.
Тем временем, MGM ещё может передумать, так как участник Scattered Spider сказал, что переговоры с MGM всё ещё продолжаются. Мужчина утверждал, что украденные данные включали информацию о клиентах, отчёты о случаях сексуального насилия и другие корпоративные записи. Опять-таки, если данная информация соответствует действительности.
Кто бы на самом деле не был ответственен за оба инцидента, глупо отрицать, что обе группировки являются опытными объединениями с богатой историей вымогательских атак.
Согласно анализу , проведённому фирмой по кибербезопасности Trellix, группа Scattered Spider активна с мая 2022 года и до недавнего времени в основном атаковала организации, занимающиеся аутсорсингом телекоммуникаций и бизнес-процессов, а позже стала атаковать другие сектора, включая критическую инфраструктуру. ALPHV же стала известна ещё раньше и постоянно мелькает в многочисленных атаках.
Чарльз Кармакал, технический директор Mandiant, назвал Scattered Spider «одним из наиболее распространённых и агрессивных банд киберпреступников, влияющих сегодня на организации в Соединённых Штатах».
Члены группы, по мнению Кармакала, возможно, «менее опытны и моложе», чем более авторитетные преступные хакерские группы, но они — «носители английского языка» и «являются невероятно эффективными социальными инженерами», добавил директор Mandiant, имея в виду практику обмана или убеждения человека, имеющего доступ к конкретной компании или сети предоставить доступ к кому-либо, не уполномоченному на его получение.
Точную связь между Scattered Spider и ALPHV сложно определить наверняка, особенно учитывая различия в том, о чём группировки сообщают публично.
Спойлер: она начинается с подписки на наш канал