Okta confirme son lien avec les cyberattaques contre les casinos de Las Vegas
Dater: 2023-09-19 Auteur: Dima Zakharov Catégories: CASINO, ÉVÉNEMENTS
Dans une récente révélation, David Bradbury, responsable de la sécurité des informations (CISO) chez Okta, a confirmé les soupçons entourant les cyberattaques contre deux opérateurs de casinos de renom de Las Vegas, MGM Resorts et Caesars Entertainment. Bradbury a révélé que les attaquants ont exploité les services d'Okta comme point d'entrée, éclairant ainsi les origines des cyberattaques simultanées.
Lors d'une interview avec Reuters, Bradbury a révélé que tant MGM Resorts que Caesars Entertainment figuraient parmi les cinq clients d'Okta ayant été victimes de l'acteur de la menace connu sous le nom d'UNC3944, également reconnu sous les noms de Scattered Spider, Scatter Swine ou 0ktapus, opérant en tant qu'affilié de l'opération de rançongiciel ALPHV/BlackCat au cours des dernières semaines. Okta coopère activement avec les agences chargées de l'application des lois dans le cadre des enquêtes en cours.
UNC3944 surveille de près Okta depuis plus d'un an. En 2022, cette opération de cybercriminalité a exploité la réputation d'Okta dans une série d'attaques contre le secteur technologique. Bradbury a noté uneaugmentation des attaques d'ingénierie sociale contre les clients d'Okta au cours de la dernière année, souvent en trompant les équipes d'assistance informatique pour leur accorder un accès non autorisé.
Bien que Bradbury n'ait pas révélé l'identité d'autres victimes, le cabinet de sécurité londonien DynaRisk a indiqué qu'UNC3944 pourrait détenir des identifiants Okta volés liés à plus de 500 autres entreprises, dont Adobe, Diageo et Epic Games.
Cette révélation d'Okta répond aux spéculations qui ont suivi une déclaration de l'opération de rançongiciel ALPHV/BlackCat le 14 septembre. Le gang a affirmé que MGM Resorts avait détecté leur intrusion dans les serveurs Okta et avait tenté d'accéder à des mots de passe sensibles. Cet incident a conduit MGM Resorts à perdre l'accès à son locataire Okta tandis que les attaquants conservaient des privilèges d'administrateur super utilisateur.
Cependant, Ariel Parnes, directeur général de Mitiga, a mis en garde contre une acceptation aveugle des affirmations du gang, suggérant qu'elles pourraient faire partie d'une campagne psychologique visant à exercer une pression sur MGM. Quelle que soit l'exactitude des affirmations, l'incident met en lumière les complexités des environnements hybrides impliquant des centres de données sur site, le cloud et le SaaS.
Christopher Budd, directeur de l'équipe Sophos X-Ops, a souligné l'importance de se concentrer sur le "comment" de l'attaque plutôt que sur le "qui". Il a noté que les acteurs de la menace étendaient leurs tactiques à la guerre de l'information, ce qui pourrait potentiellement compliquer les efforts de réponse aux incidents.
À l'heure actuelle, MGM Resorts a rétabli son site Web accessible au public et a assuré aux clients que la plupart de ses offres de propriété restaient opérationnelles. L'organisation accepte également les réservations et traite les transactions par carte de crédit comme d'habitude, bien que certains services numériques soient temporairement hors ligne. Les frais d'annulation ont été supprimés pour les réservations jusqu'au 24 septembre.
Lors d'une interview avec Reuters, Bradbury a révélé que tant MGM Resorts que Caesars Entertainment figuraient parmi les cinq clients d'Okta ayant été victimes de l'acteur de la menace connu sous le nom d'UNC3944, également reconnu sous les noms de Scattered Spider, Scatter Swine ou 0ktapus, opérant en tant qu'affilié de l'opération de rançongiciel ALPHV/BlackCat au cours des dernières semaines. Okta coopère activement avec les agences chargées de l'application des lois dans le cadre des enquêtes en cours.
UNC3944 surveille de près Okta depuis plus d'un an. En 2022, cette opération de cybercriminalité a exploité la réputation d'Okta dans une série d'attaques contre le secteur technologique. Bradbury a noté uneaugmentation des attaques d'ingénierie sociale contre les clients d'Okta au cours de la dernière année, souvent en trompant les équipes d'assistance informatique pour leur accorder un accès non autorisé.
Bien que Bradbury n'ait pas révélé l'identité d'autres victimes, le cabinet de sécurité londonien DynaRisk a indiqué qu'UNC3944 pourrait détenir des identifiants Okta volés liés à plus de 500 autres entreprises, dont Adobe, Diageo et Epic Games.
Cette révélation d'Okta répond aux spéculations qui ont suivi une déclaration de l'opération de rançongiciel ALPHV/BlackCat le 14 septembre. Le gang a affirmé que MGM Resorts avait détecté leur intrusion dans les serveurs Okta et avait tenté d'accéder à des mots de passe sensibles. Cet incident a conduit MGM Resorts à perdre l'accès à son locataire Okta tandis que les attaquants conservaient des privilèges d'administrateur super utilisateur.
Cependant, Ariel Parnes, directeur général de Mitiga, a mis en garde contre une acceptation aveugle des affirmations du gang, suggérant qu'elles pourraient faire partie d'une campagne psychologique visant à exercer une pression sur MGM. Quelle que soit l'exactitude des affirmations, l'incident met en lumière les complexités des environnements hybrides impliquant des centres de données sur site, le cloud et le SaaS.
Christopher Budd, directeur de l'équipe Sophos X-Ops, a souligné l'importance de se concentrer sur le "comment" de l'attaque plutôt que sur le "qui". Il a noté que les acteurs de la menace étendaient leurs tactiques à la guerre de l'information, ce qui pourrait potentiellement compliquer les efforts de réponse aux incidents.
À l'heure actuelle, MGM Resorts a rétabli son site Web accessible au public et a assuré aux clients que la plupart de ses offres de propriété restaient opérationnelles. L'organisation accepte également les réservations et traite les transactions par carte de crédit comme d'habitude, bien que certains services numériques soient temporairement hors ligne. Les frais d'annulation ont été supprimés pour les réservations jusqu'au 24 septembre.
