De recente ransomware-aanval op MGM Resorts vond plaats via een inbreuk op het gebruikte Okta-platform. Dit maakten de hackers van de ransomwarebende ALPHV zelf bekend.
Volgens ALPHV is de aanval uitgevoerd via een inbreuk in de actieve Okta Agent-applicatie van MGM Resorts. Deze applicatie verbindt het cloudgebaseerde IAM-platform met de door de resortgroep gebruikte Active Directory.
Wachtwoorden gestolen
De hackers geven aan dat ze erin waren geslaagd een dag lang wachtwoorden op te halen, na een social engineering-aanval. Ze maakten voornamelijk de wachtwoorden die niet konden worden verkregen uit de domain controller has dumps- op de Okta-servers van MGM Resorts buit.
Hoewel het casino dit ontdekte en de Okta-servers vervolgens één voor één afsloot, was het kwaad al geschied. De hackers lanceerden vorige week maandag 11 september ransomware-aanvallen tegen meer dan duizend ESXi-hypervisors. Eerder had ALPHV MGM Resorts wel op de hoogte proberen te brengen, maar dat mislukte.
‘Toegang niet afgesloten’
ALPHV heeft naar eigen zeggen nog steeds toegang tot een deel van de MGM-infrastructuur en dreigt met meer aanvallen als onderhandlingen worden afgehouden. Ook dreigt het gestolen data te publiceren.
De activiteiten van MGM Resorts, onder meer in Las Vegas, zouden door de aanval zeer zijn getroffen. Inchecksystemen voor de hotels, veel liften en ook het casino zelf zouden nog steeds problemen ondervinden, zo heeft een medewerker van Techzine vorige week zelf kunnen ervaren.
Bevestiging Okta
Okta heeft inmiddels bevestigd dat zijn platform betrokken is bij de ransomware-aanval op MGM Resorts, schrijft Dark Reading. Het platform zou ingezet zijn tijdens het meer geavanceerde onderdeel van de aanval, doordat de hackers ingebouwde functionaliteit van Okta zelf wisten te misbruiken.
Meer concreet ging het hierbij om het uitrollen van een eigen identiteits-provider (IDP) en gebruikersdatabase in het Okta-systeem van in dit geval MGM Resorts. Het kunnen aanmaken van meerdere identity subgroups is een standaard onderdeel van het Okta-platform.
Door een social engineering-aanval op de IT-helpdesk konden de hackers overtuigen om alle MFA-factors te resetten die door hoog geprivigileerde gebruikers zijn ingevoerd. De hackers gebruikten daarna gecompromitteerde high privileged Okta Super Administrators-accounts om bepaalde legitieme ‘identity federation’-eigenschappen te misbruiken die hen in staat stelde zich voor te doen als gebruikers binnen de organisatie.
Okta waarschuwt sinds eind augustus al voor dit soort social engineering-aanvallen op zijn platform. De IAM-specialist zal samen met MGM Resorts er alles doen op het probleem op te lossen.
Lees ook: De week in ransomware: Caesars en KNVB betalen, MGM werkt op halve kracht
1 dag geleden
