El grupo hotelero “tomó la apresurada decisión de cerrar cada uno de sus servidores Okta Sync después de enterarse de que habíamos ocultado en sus servidores Okta Agent para detectar las contraseñas de las personas, incluidas aquellas que no podían descifrarse de los datos de hash de sus controladores de dominio”. BlackCat añade: "Esto provocó que su Okta quedara completamente inutilizable". La banda también ataca al sitio VX Underground por haber “informado falsamente de hechos que nunca tuvieron lugar sobre las tácticas, técnicas y procedimientos utilizados”.

Índice
  1. Respuesta apresurada a incidentes
  2. VX Underground sancionado por desinformación

Respuesta apresurada a incidentes

Los ciberdelincuentes dicen que inicialmente se infiltraron en la red de MGM explotando vulnerabilidades en el agente Okta del grupo, sin implementar ransomware. Se les otorgaron privilegios de superadministrador en este agente y privilegios de administrador global en el inquilino de Azure. En respuesta a esta intrusión en la red, MGM restringió el acceso bajo condiciones el 8 de septiembre. Dos días después, los equipos prohibieron todo acceso a su entorno Okta debido a "capacidades administrativas inadecuadas y manuales de respuesta a incidentes débiles". Y agregó, “debido a la falta de comprensión de cómo funciona la red por parte de sus ingenieros, el acceso a la red era problemático los sábados. Luego tomaron la decisión de “desconectar componentes aparentemente importantes de su infraestructura los domingos”. Un bloqueo que no impidió que la banda ALPHV lanzara un ataque de ransomware el 11 de septiembre y recuperara el acceso a más de 100 hipervisores ESXi.

Expertos como Bobby Cornwell, vicepresidente de asociaciones estratégicas de SonicWall, dicen que la decisión de MGM de cerrar sus sistemas estaba justificada. "Por precaución, MGM tomó la decisión correcta al bloquear todos sus sistemas, a pesar de que sus acciones causarían inconvenientes a sus clientes", dijo Bobby Cornwell.

VX Underground sancionado por desinformación

ALPHV culpó a VX Undergrounds, la firma de investigación de ciberseguridad que vinculó por primera vez el ataque con ALPHV, por desinformar y simplificar demasiado los métodos implementados en el ataque. "En este punto, no tenemos más remedio que criticar a VX Underground por informar falsamente sobre eventos que nunca sucedieron", dijo la pandilla. "Eligieron hacer afirmaciones de atribución falsas y filtrarlas a la prensa cuando aún no pueden confirmar la atribución con un alto grado de certeza después de hacerlo". Los TTP utilizados por las personas a las que acusan de estar detrás de los ataques son conocidos por el público y son relativamente fáciles de imitar para cualquiera”, añade.

En una publicación sobre 'asistencia'. Una empresa valorada en 33.900.000.000 de dólares fue derrotada por una conversación de 10 minutos”.