Okta confirma su vínculo con los ciberataques a los casinos de Las Vegas
Fecha: 2023-09-19 Autor: Dima Zakharov Categorías: CASINO, EVENTOS
En un reciente desarrollo, David Bradbury, Director de Seguridad de la Información (CISO) de Okta, ha confirmado las sospechas en torno a los ciberataques dirigidos a dos destacados operadores de casinos de Las Vegas, MGM Resorts y Caesars Entertainment. Bradbury reveló que los atacantes explotaron los servicios de Okta como punto de entrada, arrojando luz sobre el origen de los ataques cibernéticos simultáneos.
En una entrevista con Reuters, Bradbury reveló que tanto MGM Resorts como Caesars Entertainment estaban entre los cinco clientes de Okta que cayeron víctimas del actor de amenazas conocido como UNC3944, también identificado como Scattered Spider, Scatter Swine o 0ktapus, operando como afiliado de la operación de ransomware ALPHV/BlackCat en las últimas semanas. Okta está cooperando activamente con las agencias de aplicación de la ley en las investigaciones en curso.
UNC3944 ha estado monitoreando de cerca a Okta durante más de un año. En 2022, esta operación cibercriminal explotó la reputación de Okta en una serie de ataques al sector tecnológico. Bradbury señaló un aumento en los ataques de ingeniería social contra los clientes de Okta en el último año, a menudo engañando a los equipos de asistencia de TI para otorgar acceso no autorizado.
Aunque Bradbury no reveló la identidad de otras víctimas, la consultora de seguridad con sede en Londres, DynaRisk, indicó que UNC3944 podría poseer credenciales de Okta robadas relacionadas con más de 500 otras empresas, incluidas Adobe, Diageo y Epic Games.
Esta revelación de Okta aborda las especulaciones que surgieron después de una declaración de la operación de ransomware ALPHV/BlackCat el 14 de septiembre. El grupo afirmó que MGM Resorts detectó su intrusión en los servidores de Okta y trató de acceder a contraseñas sensibles. Este incidente resultó en que MGM Resorts perdiera el acceso a su inquilino de Okta mientrasque los atacantes conservaban privilegios de superadministrador.
Sin embargo, Ariel Parnes, COO de Mitiga, advirtió contra tomar las afirmaciones del grupo como veraces, sugiriendo que podrían formar parte de una campaña psicológica para ejercer presión sobre MGM. Independientemente de la precisión de las afirmaciones, el incidente destaca las complejidades de los entornos híbridos que involucran centros de datos locales, la nube y SaaS.
Christopher Budd, director del equipo Sophos X-Ops, enfatizó la importancia de centrarse en el "cómo" del ataque en lugar del "quién". Señaló que los actores de amenazas estaban expandiendo sus tácticas a la guerra de la información, lo que podría complicar los esfuerzos de respuesta a incidentes.
Hasta el momento, MGM Resorts ha restaurado su sitio web público y ha asegurado a los huéspedes que la mayoría de sus ofertas de propiedades siguen operativas. La organización también está aceptando reservas y procesando transacciones con tarjeta de crédito como de costumbre, aunque algunos servicios digitales están temporalmente fuera de línea. Se han eliminado las tarifas de cancelación para reservas hasta el 24 de septiembre.
En una entrevista con Reuters, Bradbury reveló que tanto MGM Resorts como Caesars Entertainment estaban entre los cinco clientes de Okta que cayeron víctimas del actor de amenazas conocido como UNC3944, también identificado como Scattered Spider, Scatter Swine o 0ktapus, operando como afiliado de la operación de ransomware ALPHV/BlackCat en las últimas semanas. Okta está cooperando activamente con las agencias de aplicación de la ley en las investigaciones en curso.
UNC3944 ha estado monitoreando de cerca a Okta durante más de un año. En 2022, esta operación cibercriminal explotó la reputación de Okta en una serie de ataques al sector tecnológico. Bradbury señaló un aumento en los ataques de ingeniería social contra los clientes de Okta en el último año, a menudo engañando a los equipos de asistencia de TI para otorgar acceso no autorizado.
Aunque Bradbury no reveló la identidad de otras víctimas, la consultora de seguridad con sede en Londres, DynaRisk, indicó que UNC3944 podría poseer credenciales de Okta robadas relacionadas con más de 500 otras empresas, incluidas Adobe, Diageo y Epic Games.
Esta revelación de Okta aborda las especulaciones que surgieron después de una declaración de la operación de ransomware ALPHV/BlackCat el 14 de septiembre. El grupo afirmó que MGM Resorts detectó su intrusión en los servidores de Okta y trató de acceder a contraseñas sensibles. Este incidente resultó en que MGM Resorts perdiera el acceso a su inquilino de Okta mientrasque los atacantes conservaban privilegios de superadministrador.
Sin embargo, Ariel Parnes, COO de Mitiga, advirtió contra tomar las afirmaciones del grupo como veraces, sugiriendo que podrían formar parte de una campaña psicológica para ejercer presión sobre MGM. Independientemente de la precisión de las afirmaciones, el incidente destaca las complejidades de los entornos híbridos que involucran centros de datos locales, la nube y SaaS.
Christopher Budd, director del equipo Sophos X-Ops, enfatizó la importancia de centrarse en el "cómo" del ataque en lugar del "quién". Señaló que los actores de amenazas estaban expandiendo sus tácticas a la guerra de la información, lo que podría complicar los esfuerzos de respuesta a incidentes.
Hasta el momento, MGM Resorts ha restaurado su sitio web público y ha asegurado a los huéspedes que la mayoría de sus ofertas de propiedades siguen operativas. La organización también está aceptando reservas y procesando transacciones con tarjeta de crédito como de costumbre, aunque algunos servicios digitales están temporalmente fuera de línea. Se han eliminado las tarifas de cancelación para reservas hasta el 24 de septiembre.
