Vụ hack online casino: Lần này đã xảy ra lỗi gì?

online casino Resorts International một lần nữa lại trở thành nạn nhân của một vụ hack an ninh mạng quy mô lớn khác. Các báo cáo cho biết nhóm hacker Scattered Spider (UNC3944), dường như có liên kết với nhóm ransomware BlackCat (ALPHAV), đã lấy được khoảng 6 terabyte dữ liệu từ sòng bạc goliath một cách ác ý. Chủng ransomware chính xác vẫn đang được tranh luận, nhưng một số tổ chức an ninh mạng được ngưỡng mộ, trong đó có X-Force của IBM, tuyên bố rằng một biến thể của bộ mã hóa Sphynx đã được đưa vào thực hiện tội phạm này. Thông tin chi tiết đầy đủ về vụ hack vẫn chưa được công bố và những gì có sẵn vẫn chưa rõ ràng. Tuy nhiên, có một số chi tiết cần thiết về vụ hack cho thấy rõ việc online casino thiếu sách hướng dẫn Ứng phó sự cố và khả năng giảm thiểu rủi ro mạng một cách thích hợp. Một loạt các vectơ tấn công nổi tiếng liên quan đến giao thức SCIM của Okta, cùng với các chiến thuật kỹ thuật xã hội và các biện pháp bảo mật hành chính không hiệu quả, đã dẫn đến cuộc tấn công thành công của Scattered Spider. Hiện tại online casino có hơn 100 trình ảo hóa ESXi bị khóa bởi chủng ransomware cùng với đối tượng thuê Azure bị xâm phạm hoàn toàn để thêm vào. Ngoài ra, nhiều tài khoản độc hại có đặc quyền quản trị cấp cao và toàn cầu hoạt động tràn lan trên các miền của online casino.

Là một Hacker đạo đức được đào tạo và chứng nhận với hơn 10 năm kinh nghiệm trong lĩnh vực này, tôi đã tham gia vào nhiều chiến dịch lừa đảo xã hội cùng với các hoạt động của Nhóm Đỏ/Xanh/Tím cho nhiều cơ quan chính phủ gồm ba chữ cái khác nhau bao gồm DOD và NSA. Phát biểu từ kinh nghiệm cá nhân, tôi có thể tuyên bố với mức độ tự tin cao rằng mặc dù có rất nhiều khóa đào tạo về bảo mật không ngừng tràn ngập suy nghĩ của chúng ta, nhưng việc khai thác và hack tỏ ra dễ dàng hơn qua từng năm. Thật không may, đây không phải là trải nghiệm đầu tiên của online casino khi nói đến những thỏa hiệp hoành tráng. Vào năm 2020, khoảng 142 triệu tài liệu liên quan đến khách hàng của online casino đã bị rò rỉ trực tuyến và sau đó được bán trên darknet với giá dưới 3.000 đô la một chút. Một con chó già có thể được dạy những thủ thuật mới không? Thông tin cần tiếp tục sau đây sẽ được chia thành hai trụ cột quan trọng chính sẽ ảnh hưởng lớn đến Kỹ thuật, Chiến thuật và Quy trình (TTP) mà nhóm tác nhân đe dọa sử dụng.

Kỹ thuật xã hội

Những thiếu sót của online casino bắt đầu bằng một chiến thuật kỹ thuật xã hội đơn giản được gọi là “Mạo danh”. Có vẻ như các thông tin cụ thể đã được giấu kín khỏi phạm vi công cộng, nhưng các báo cáo tuyên bố rằng Scattered Spider đã thao túng các quản trị viên CNTT không hề hay biết để đặt lại tài khoản người dùng, sau đó tạo cơ hội cho tài khoản đặc quyền leo thang. Người ta có thể suy ra ý nghĩa của “Mạo danh”, nhưng để tranh luận, chúng tôi sẽ xác định kỹ thuật tấn công xã hội là gì và một số chiến lược phổ biến hơn được các tác nhân đe dọa sử dụng.

Nghệ thuật tinh vi của kỹ thuật xã hội gợi lên các hành vi thao túng và lừa đảo được các cá nhân sử dụng nhằm mục đích khai thác tâm lý con người. Đạt được quyền truy cập trái phép vào các không gian an toàn và hệ thống thông tin mà thông thường không thể có được là mục tiêu chính. Bằng cách thao túng tâm lý so với dùng vũ lực thẳng thừng, mối đe dọa tiềm tàng đối với an ninh mạng và quyền riêng tư cá nhân đòi hỏi sự tôn trọng không ngừng.

Các TTP kỹ thuật xã hội phổ biến bao gồm:

• Lừa đảo/Đỉa:Gửi email hoặc tin nhắn SMS lừa đảo có vẻ hợp pháp nhằm đe dọa và xâm phạm các tổ chức hoặc cá nhân đáng tin cậy.
• Nhử mồi:Cung cấp thứ gì đó có giá trị, chẳng hạn như bản tải xuống miễn phí hoặc ổ USB, chứa các hoạt động khai thác độc hại được bao bọc trong những con ngựa thành Troy không đáng ngờ.
• Mạo danh:Làm người có thẩm quyền nhằm mục đích đe dọa và gây áp lực buộc các cá nhân tiết lộ thông tin hoặc tuân thủ yêu cầu của họ.

Có quá nhiều biện pháp phòng ngừa liên quan đến việc giảm thiểu các cuộc tấn công lừa đảo qua mạng được liệt kê; mặc dù vậy, đây là một số phương pháp phòng ngừa phổ biến và thiết thực hơn:

• Giáo dục và nhận thức về tình huống:Tri thức là sức mạnh. Có thể cho rằng thành phần quan trọng nhất, luyện tập liên tục với trí nhớ cơ được áp dụng là chìa khóa cơ bản dẫn đến thành công.
• Xác minh danh tính:Xác thực lặp lại và thường xuyên thông qua thông tin bạn biết (mật khẩu), thông tin bạn có (Thẻ truy cập chung) và thông tin về bạn (sinh trắc học), đặc biệt nếu yêu cầu có vẻ bất thường hoặc khẩn cấp.
• Báo cáo hoạt động đáng ngờ:Khuyến khích văn hóa báo cáo mọi sự cố đáng ngờ cho cơ quan có thẩm quyền hoặc nhóm CNTT/bảo mật thích hợp.

Bằng cách luôn cập nhật thông tin, cảnh giác và thận trọng, các cá nhân và tổ chức có thể giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo qua mạng và bảo vệ thông tin cũng như tài sản nhạy cảm của họ.

Quản lý danh tính/quyền truy cập đặc quyền (I/PAM)

Do các lỗ hổng có thể khai thác được xác định trong các giao thức quản lý mật khẩu của Okta, nhóm tin tặc đã làm hỏng liên tục quá trình đồng bộ hóa mật khẩu xảy ra giữa Active Directory và Okta, cho phép chặn mật khẩu. Ngoài ra, khi Scattered Spider sở hữu thành công tất cả các thao tác ghi quản trị vào máy chủ Okta Sync của online casino, họ không còn lựa chọn nào khác ngoài việc tắt tất cả chúng. Thật không may, kết quả của việc này gây ra thiệt hại tài sản thế chấp đáng kể cho tất cả các hoạt động kinh doanh và tài khoản người dùng liên quan đến nền tảng Okta của online casino. Quản lý danh tính và quyền truy cập đặc quyền (I/PAM) là một biện pháp an ninh mạng bao gồm việc kiểm soát, giám sát và bảo mật quyền truy cập vào các hệ thống, dữ liệu và tài khoản quan trọng với các đặc quyền nâng cao, đồng thời bảo vệ khỏi các mối đe dọa nội bộ và các cuộc tấn công từ bên ngoài bằng cách hạn chế quyền truy cập chỉ cho những nhân viên được ủy quyền. Do đó, các tổ chức có thể giảm đáng kể tác động tiêu cực bắt buộc đối với các cuộc tấn công mạng thông qua việc thực hiện chương trình I/PAM vững chắc.

Yêu cầu tối thiểu để duy trì I/PAM một cách hiệu quả:

• Thực thi đặc quyền tối thiểu:Chỉ định quyền truy cập tối thiểu cần thiết cho mỗi người dùng hoặc hệ thống để giúp giảm nguy cơ thực hiện các hành động trái phép.
• Triển khai xác thực mạnh:Yêu cầu xác thực đa yếu tố (MFA) và mật khẩu một lần (OTP) cho tất cả quyền truy cập đặc quyền để đảm bảo chỉ những cá nhân được ủy quyền mới có quyền truy cập.
• Hoạt động giám sát và kiểm tra:Liên tục giám sát quyền truy cập đặc quyền, ghi lại mọi hành động và điều tra kịp thời mọi hoạt động đáng ngờ hoặc trái phép.

Các phương pháp vệ sinh tốt nhất của Okta I/PAM:

• Không bao giờ xuất mật khẩu Okta chính của bạn
• Xem lại nhật ký và dữ liệu cảnh báo cho biết sự thay đổi trong cấu hình SCIM và/hoặc đặc quyền nâng cao
• Sử dụng Okta Fastpass để có trải nghiệm đăng nhập không cần mật khẩu

Kết luận

Chúng ta đã được nhắc nhở một lần nữa rằng lịch sử trên thực tế lặp lại và rằng nếu chúng ta tiếp tục làm những điều tương tự hoặc không làm những điều nhất định trong trường hợp này, chúng ta sẽ nhận được kết quả tương tự. online casino chỉ là một trong nhiều tập đoàn được thêm vào danh sách ngày càng dài các thực thể bị tấn công gần đây. Đáng buồn thay, danh sách này sẽ không ngừng mở rộng nếu các yêu cầu bảo mật cần thiết không bao giờ được thực hiện. Bạn hoặc tổ chức của bạn có cần phát triển Ứng phó sự cố hoặc đào tạo Kỹ thuật xã hội không. Có lẽ bạn cần một chương trình Ngăn chặn mất dữ liệu chính thức để PII quý giá của bạn không bị cả thế giới mua như những người bạn online casino của chúng tôi. Dù thế nào đi nữa, Nhà giả kim giàu kinh nghiệm của chúng tôi sẵn sàng hỗ trợ bạn giải quyết mọi thiếu sót về an ninh mạng mà bạn có thể gặp phải.

TÀI LIỆU THAM KHẢO