MGM 和 Caesars 受攻击事件最新消息

关键要点

• BlackCat/ALPHV 勒索软件组织宣称已侵入 MGM 的基础设施并加密了超过 100 个 ESXi 虚拟机。
• 黑客威胁 MGM 必须支付赎金，否则将会发起新的攻击。
• Caesars 已支付数百万美元的赎金。
• 专家表示，需要加强后续事件调查和多层防御措施，以应对网络攻击带来的多维挑战。

根据本周四的两个重要消息，MGM 和 Caesars 的网络攻击事件再度引发关注。这些袭击给这两家拉斯维加斯酒店带来了持续的困扰。

根据 ，负责此次攻击的
BlackCat/ALPHV 勒索软件组织声称自上周五起成功侵入了 MGM 的基础设施，且加密了 100 多个 ESXi 超级管理程序。BlackCat还表示，他们在网络中提取了数据，并对 MGM 的部分基础设施保持访问，并威胁若 MGM 不支付赎金，将发起新一轮的攻击。

本周早些时候的报道指出，MGM 与 BlackCat 的谈判仍在进行中。Bloomberg 还报道，Caesars 在此次攻击中支付了数百万美元的赎金。

重要消息表

消息 | 内容
—|—
攻击组织 | BlackCat/ALPHV
受害者 | MGM 和 Caesars
加密数量 | 超过 100 个 ESXi 超级管理程序
Caesars 赎金 | 数百万美元
专家观点 | 强调需要加强多层防御和事件后调查

黑客在声明中提到，MGM 仅仅在得知 BlackCat/ALPHV 正在其 Okta 代理服务器上活动后，才断开了他们的 Okta 同步服务器。尽管 MGM已停止 Okta 服务器的运行，黑客依然声称他们在 MGM 网络上保持活动。

Optiv 的网络实践负责人 Nick Hyatt 表示，随着主要组织在过去十年中向虚拟化转型，越来越多的技术从裸机转向虚拟化服务器。他提到，加密 ESXi服务器会破坏其功能——加密宿主服务器实际上可以立即禁用所有虚拟化服务器。

“这并不是一种新战术，但它很有效。”Hyatt
表示，“随着此类攻击组织更注重效率和收益，而非造成混乱，组织必须依赖于深度防御，并确保关键应用程序由多层防御和冗余措施保护。这是一个昂贵的问题，但从长远来看会导致更安全的环境。”

Critical Start 的网络威胁研究高级经理 Callie Guenther还指出，该组织不断演变的操作模式，尤其是在社会工程攻击和【自带漏洞驱动程序
(BYOVD)】(https://www.scworld.com/news/tactics-of-mgm-caesars-attackers-were-
known-for-several-months)策略中的应用，强调了网络威胁环境的多样性。

“数据加密及其释放威胁的结合，清晰地表明企业在应对勒索攻击时面临的多元挑战。” Guenther
说道。“攻击者声称他们在最初的攻击后仍然能够持续访问，这凸显了进行全面事件后调查的重要性。这些威胁演员的主要人口特征——主要以年轻的英语为母语者为主，也提醒我们网络对手可以来自几乎任意地方。”

Guenther 还提到，当她的团队分析关于 Okta 违规的信息时，尤其是与 MGM 和 Caesars相关的信息，发现了攻击链的不同但相关的阶段。她表示，Okta 的妥协似乎主要集中在针对 IT服务台人员的社会工程攻击，以重置高权限用户的多因素身份验证（MFA）因子。

“一旦攻击者在 Okta 中获得超级管理员权限，他们就可能利用这些权限进一步渗透组织的网络，” Guenther 解释道。“这可能包括在 Windows
系统上获得更高权限。Okta 报告中提到的‘新型横向移动和防御规避的方法’很可能与此有关。拥有正确的权限后，他们可能会访问