0
0
Observação: esta história foi atualizada para incluir comentários do diretor de segurança da Okta, David Bradbury.
Os agentes de ameaças que se acredita estarem por trás dos ataques cibernéticos da semana passada ao MGM Resorts e ao Caesars Entertainment agora dizem que conseguiram violar os sistemas da MGM ao invadir de alguma forma a plataforma Okta da empresa, especificamente o Okta Agent, que é o cliente leve que se conecta ao Active Directory de uma organização.
Okta é um provedor popular de gerenciamento de identidade e acesso (IAM) para a nuvem.
“A MGM tomou a decisão precipitada de desligar todos e cada um de seus servidores Okta Sync depois de saber que estávamos escondidos em seus servidores Okta Agent, farejando senhas de pessoas cujas senhas não podiam ser quebradas a partir de seus despejos de hash de controladores de domínio”, ALPHV escreveu em seu site de vazamento, em uma declaração que o pesquisador da Emsisoft, Brett Callow, tuitou . “Isso resultou na eliminação completa do Okta.”
A declaração da ALPHV acrescentou que depois de espreitar Okta por um dia e coletar senhas, o grupo de ameaças lançou ataques cibernéticos de ransomware contra mais de 1.000 hipervisores ESXi em 11 de setembro, “… depois de tentar entrar em contato [com a MGM], mas falhando”, dizia o comunicado.
O grupo de ransomware deixou claro que a MGM Resorts não está negociando com eles e está ameaçando novas ações se um acordo financeiro não for feito.
“Ainda continuamos a ter acesso a algumas infraestruturas da MGM”, afirmou o comunicado da ALPHV. “Se um acordo não for alcançado, realizaremos ataques adicionais.” O grupo também disse que divulgaria os dados que exfiltrou para Troy Hunt, do Have I Been Pwned, para divulgar de forma responsável, caso ele decidisse fazê-lo.
ALPHV (também conhecido como BlackCat) é o nome do operador de ransomware como serviço (RaaS) que forneceu ao grupo de ameaças Scattered Spider o malware e os serviços de suporte para realizar os ataques cibernéticos ao cassino .
Alerta de agosto da Okta sobre ataques de engenharia social
O diretor de segurança da Okta, David Bradbury, confirma que o ataque cibernético à MGM teve um componente de engenharia social, mas acrescenta que foi bem-sucedido porque os atores da ameaça eram sofisticados o suficiente para implantar seu próprio provedor de identidade (IDP) e banco de dados de usuários no sistema Okta.
“A parte humana foi simples, mas a parte subsequente do ataque foi complexa”, diz ele.
A capacidade de criar vários subgrupos de identidade é uma característica do sistema Okta, não uma falha, acrescenta Bradbury. Ele sugere que adicionar uma etapa de verificação visual no suporte técnico apenas para os usuários com os privilégios de acesso mais altos impediria esses ataques cibernéticos.
Okta alertou sobre o potencial de ataques de engenharia social desse tipo com um alerta em 31 de agosto detalhando tentativas de sistemas Okta para obter acesso altamente privilegiado por meio de engenharia social.
“Nas últimas semanas, vários clientes da Okta sediados nos EUA relataram um padrão consistente de ataques de engenharia social contra o pessoal da central de serviços de TI , no qual a estratégia do chamador era convencer a equipe da central de serviços a redefinir todos os fatores de autenticação multifatorial (MFA) registrados. por usuários altamente privilegiados”, alertou Okta. “Os invasores então aproveitaram o comprometimento de contas de superadministrador Okta altamente privilegiadas para abusar de recursos legítimos de federação de identidade que lhes permitiram se passar por usuários dentro da organização comprometida.”
A Okta também tornou público seu relacionamento com a MGM , trabalhando com a empresa de hospitalidade para fornecer os “alicerces para a melhor experiência do hóspede”, de acordo com seu site.
Bradbury diz que a Okta continuará a trabalhar com o Caesars e a MGM na resposta e recuperação, confirmando também o papel da Okta na violação do Caesars.
Provável nova onda de abuso de MFA
É preocupante que este possa ser o primeiro de uma nova onda de ataques cibernéticos contra utilizadores de alto privilégio, de acordo com Callie Guenther, gestora sénior de investigação de ameaças da Critical Start. Afinal, Okta já é um alvo popular entre os atores do crime cibernético.
“A Okta, dada a sua centralidade nas estratégias de IAM de muitas organizações, é naturalmente um alvo atraente”, diz Guenther. “A chave não é ver estes sistemas como inerentemente falhos, mas reconhecer a importância de uma higiene de segurança robusta, monitorização contínua e partilha rápida de informações sobre ameaças”.
O verdadeiro problema não é o Okta em si, de acordo com Aaron Painter, CEO da Nametag, fornecedora de ferramentas de segurança cibernética de helpdesk. Pelo contrário, trata-se simplesmente do facto de o MFA ter sido concebido para identificar dispositivos e não pessoas.
“Esta vulnerabilidade não é exclusiva da MGM nem da Okta; é um problema sistêmico com autenticação multifator”, diz Painter. “O MFA verifica dispositivos, não pessoas. Falta registro e recuperação seguros – dois momentos em que você precisa saber qual humano está sendo autenticado. Este é um problema conhecido, para o qual o MFA não foi criado para resolver.”
Esta é uma história em desenvolvimento.
FONTE: DARKREADING