Angriff auf MGM Resorts

What Is Angriff auf MGM Resorts?

Der Angriff auf MGM Resorts im September 2023 ist einer der teuersten Social-Engineering-Angriffe in der Unternehmensgeschichte und kostete schätzungsweise 100 Millionen US-Dollar an Umsatzeinbußen und Sanierungsmaßnahmen. Diese Übung führt Sie durch die tatsächliche Angriffskette, die von der Bedrohungsgruppe Scattered Spider verwendet wird. Es begann mit einer Open-Source-Aufklärung auf LinkedIn, bei der Angreifer einen MGM-Mitarbeiter identifizierten und dann den IT-Helpdesk anriefen, der sich als dieser Mitarbeiter ausgab, um eine Passwort-Zurücksetzung zu beantragen. Die gesamte Social-Engineering-Phase dauerte etwa 10 Minuten. Sobald die Gruppe drinnen war, setzte sie die Ransomware ALPHV/BlackCat im gesamten MGM-Netzwerk ein und lahmlegte Hotelreservierungssysteme, digitale Zimmerschlüssel, Spielautomaten und Geldautomaten in allen Hotels in Las Vegas und im ganzen Land. Der Ausfall dauerte etwa 10 Tage. Sie analysieren jede Phase des Angriffs: die LinkedIn-Erkundung, den Vishing-Anruf beim Helpdesk, das Zurücksetzen der Zugangsdaten, das den Angreifern Halt verschaffte, und die seitliche Bewegung, die zu einer vollständigen Netzwerkkompromittierung führte. Die Übung zwingt Sie dazu, die Identitätsüberprüfungsverfahren Ihrer eigenen Organisation für Helpdesk-Anrufe und Passwort-Resets zu bewerten. Würde sich derselbe Anruf gegen Ihr Team auswirken? Die meisten Teilnehmer entdecken Lücken, an die sie zuvor nicht gedacht hatten.

What You'll Learn in Angriff auf MGM Resorts

• Verfolgen Sie die gesamte Angriffskette von der LinkedIn-Erkundung über Vishing bis hin zum Ransomware-Einsatz, wie er bei der MGM-Verletzung stattfand
• Ermitteln Sie, wie Angreifer öffentlich verfügbare Mitarbeiterinformationen in sozialen Medien nutzen, um überzeugende Vorwände für Helpdesk-Anrufe zu schaffen
• Bewerten Sie die Schwächen der wissensbasierten Identitätsüberprüfung, wenn persönliche Daten online verfügbar sind
• Entwerfen Sie Multi-Faktor-Identitätsüberprüfungsverfahren für Helpdesk- und Passwort-Reset-Anfragen, die Social Engineering widerstehen
• Bewerten Sie die Anfälligkeit Ihres eigenen Unternehmens gegenüber Helpdesk-gezielten Vishing-Angriffen, indem Sie aktuelle Verfahren mit den in diesem Fall ausgenutzten Lücken vergleichen

Angriff auf MGM Resorts — Training Steps

1. Einleitung: Ein arbeitsreicher Montag beim MGM IT Support

   Es ist Montag, der 11. September 2023, und Sie haben gerade Ihre Schicht begonnen. Der Morgen war hektisch – die üblichen Passwort-Zurücksetzungen, VPN-Probleme und Zugriffsanfragen, die mit dem Beginn einer neuen Woche einhergehen. Heute fühlt es sich an wie jeder andere Montag, und in Ihrer Ticketwarteschlange werden bereits 15 offene Anfragen angezeigt. Sie sind seit zwei Jahren bei MGM und sind stolz auf Ihren Kundenservice – es ist Ihre oberste Priorität, Ihren Mitarbeitern zu helfen, schnell wieder an den Arbeitsplatz zu kommen.

2. Überprüfen Sie Ihre Ticketwarteschlange

   Ihre Ticketwarteschlange ist heute Morgen voll – 15 offene Anfragen warten auf Ihre Aufmerksamkeit. Die meisten davon sind routinemäßig: Passwort-Resets, VPN-Verbindungsprobleme und Zugriffsanfragen. Sie müssen sich beim Support-Portal anmelden, um mit der Bearbeitung zu beginnen. Sie haben diese Anfragen den ganzen Morgen effizient bearbeitet. Ihre Leistungskennzahlen belohnen schnelle Lösungszeiten und Sie sind stolz darauf, Ihren Mitarbeitern zu helfen, so schnell wie möglich wieder an die Arbeit zu gehen.

3. Ein eingehender Anruf

   Um 10:23 Uhr klingelt Ihr Tischtelefon. Die Anrufer-ID zeigt an, dass es sich um eine interne Durchwahl handelt – 4429. Das ist völlig normal; Mitarbeiter rufen oft direkt den Helpdesk an, wenn sie selbst nicht auf das Ticketsystem zugreifen können. Sie sind dabei, einen scheinbar routinemäßigen Supportanruf zu beantworten. Der Anrufer wird gestresst, aber professionell klingen – genau wie Dutzende anderer Mitarbeiter, denen Sie jede Woche helfen.

4. Das Telefonat beginnt

   Sie antworten professionell und hören am anderen Ende die Stimme eines jungen Mannes. Er klingt aufrichtig gestresst, aber höflich. Sein Englisch ist perfekt – klarer amerikanischer Akzent, kein Zögern, er verwendet die gleiche interne Terminologie, die Ihre regelmäßigen Anrufer verwenden. Er stellt sich als Bob Richardson vom Bellagio-Betriebsteam vor und erklärt, dass er aufgrund einer wichtigen VP-Besprechung in 20 Minuten von seinen Konten ausgeschlossen ist. Als Sie nach seinem Mitarbeiterausweis fragen, gibt er zu, dass er ihn nicht auswendig gelernt hat, hat seinen Ausweis in seinem Auto gelassen und fragt, ob Sie stattdessen seinen Namen nachschlagen könnten. Dies ist eine häufige Anfrage. Viele Mitarbeiter merken sich ihre Ausweise nicht und vergessen ihre Ausweise. Nichts an diesem Anruf löst sofort Warnsignale aus.

5. Nachschlagen der Mitarbeiterakte

   Gemäß dem Standardprotokoll müssen Sie Bobs Identität überprüfen, indem Sie im System nach seinem Mitarbeiterdatensatz suchen. Er gab seinen vollständigen Namen an: Robert Richardson, und sagte, er arbeite im Gästeservice des Bellagio. Sie durchsuchen die Mitarbeiterdatenbank, um zu bestätigen, dass er ein rechtmäßiger MGM-Mitarbeiter ist, bevor Sie mit Kontoänderungen fortfahren. Dies ist ein routinemäßiger Sicherheitsschritt, den Sie Dutzende Male am Tag durchführen.

6. Überprüfung von Bobs Identität

   Das System zeigt Robert Richardson, Mitarbeiter-ID MG-47832, der im Mai 2020 als Guest Services Manager im Bellagio eingestellt wurde. Alles läuft perfekt. Jetzt müssen Sie seine Identität anhand der Standard-Sicherheitsfragen überprüfen. Bob erklärt sein MFA-Problem – sein Telefon wurde gestern aktualisiert und die Authenticator-App beschädigt, sodass er keine Anmeldecodes empfangen kann. Dies ist ein häufiges Problem, das Sie schon oft gelöst haben. Bob gibt ohne zu zögern sein Geburtsdatum und die letzten vier Ziffern seiner SSN an. Er erwähnt sogar seine Managerin Linda Chen (jemand, dem Sie zuvor geholfen haben) und verweist auf ein internes Projekt zur Einführung des neuen Check-in-Systems. Er klingt frustriert, aber professionell, als er erklärt, wie dringend dies aufgrund seines bevorstehenden Vizepräsidententreffens sei.

7. Gegenprüfung der Informationen

   Sie vergleichen Bobs Informationen mit denen, die im Mitarbeiterportal angezeigt werden. Geburtsdatum, SSN, Name des Vorgesetzten und Abteilung stimmen perfekt überein. Alles, was Bob Ihnen gesagt hat, ist korrekt. Er kennt interne Projekte, verweist auf echte Menschen und seine Frustration klingt echt. Er liefert die richtigen Informationen, ohne dass Sie zweimal nachfragen müssen. Es gibt keine offensichtlichen Warnsignale, die Sie misstrauisch machen würden. Hier handelt es sich offenbar um einen legitimen Mitarbeiter, der vor einer wichtigen Besprechung Hilfe bei der Rückkehr an die Arbeit benötigt.

8. Die MFA-Reset-Anfrage

   Sie erklären Bob die Standardoptionen: Sie können seine MFA zurücksetzen, aber er muss sein Gerät erneut registrieren. Alternativ könnten Sie einen temporären Zugangscode an seine registrierte E-Mail-Adresse oder Telefonnummer senden. Bob erklärt sein Dilemma: Seine Telefonnummer hat sich geändert, als er während des Updates die neue SIM-Karte erhalten hat, und er kann nicht auf seine E-Mails zugreifen, da hierfür auch dieselbe MFA erforderlich ist, für die er gesperrt ist. Er fragt Sie, ob Sie die MFA einfach zurücksetzen können, damit er sich sofort erneut anmelden kann, während sein Telefon bereit ist. Dies liegt in Ihrer Verantwortung. Sie haben diese Art von Reset schon hunderte Male durchgeführt. Das System zeigt anhand verifizierter Informationen, dass es sich um einen legitimen Mitarbeiter handelt. Ihre Leistungskennzahlen belohnen schnelle Lösungszeiten und Bob hat eindeutig ein berechtigtes Geschäftsbedürfnis.

9. Die Entscheidung treffen

   Sie haben Ihre Entscheidung getroffen. Bob hat gezeigt, dass er ein echter Mitarbeiter ist, indem er genaue persönliche Daten angegeben und eine vernünftige Erklärung abgegeben hat. Sie haben genau diese Art von MFA-Reset schon hunderte Male ohne Zwischenfälle durchgeführt. Bob klingt gestresst wegen einer berechtigten geschäftlichen Notwendigkeit – einem bevorstehenden Treffen mit dem Vizepräsidenten in nur wenigen Minuten. Sie sind hier, um Ihren Mitarbeitern zu helfen, schnell wieder an die Arbeit zu kommen. Es gibt keinen Grund, diese Anfrage abzulehnen oder an Ihren Vorgesetzten weiterzuleiten. Alles ist erledigt, und Bob wartet in der Leitung und ist bereit, seine Authentifizierungs-App sofort erneut zu registrieren.

10. Auf die Kontoeinstellungen zugreifen

    Sie navigieren im Portal zu Bobs Mitarbeiterprofil. Die Seite zeigt seine grundlegenden Details, seinen Beschäftigungsverlauf und seinen aktuellen Status. Um die MFA-Zurücksetzung durchzuführen, müssen Sie zuerst auf seine Kontoeinstellungen zugreifen. Sie können sehen, dass sein Profil die von ihm bereitgestellten Informationen bestätigt: Guest Services Manager im Bellagio, eingestellt im Mai 2020. Alles stimmt mit dem überein, was Bob Ihnen am Telefon gesagt hat.