zurück zum Artikel

Statement der ALPHV-Gruppe: So lief der MGM-Hack ab – aus Sicht der Angreifer

Dennis Schirrmacher

(Bild: antb/Shutterstock.com)

In einem Statement feuern die Cyberkriminellen der ALPHV-Gruppe gegen inkompetente MGM-Admins und Journalisten. Aber was sie am Ende wollen, bleibt unklar.

Die Drahtzieher der ALPHV-Gruppe sind offensichtlich mit der Berichterstattung über den Hack der US-Casino-Kette MGM und den fehlenden Reaktionen der Opfer unglücklich. Deswegen haben sie nun auf ihrer Website im Darknet eine Klarstellung veröffentlicht.

Im Zuge des Sicherheitsvorfalls hat MGM seine Systeme heruntergefahren [1] und es kam zu weitreichenden Ausfällen in allen Hotels und Casinos der Kette in den USA.

Im Statement beschreiben die Kriminellen unter anderem, wie der Angriff aus ihrer Sicht ablief: Nachdem sie die vom Domain-Controller erbeuteten Passwörter in Form von Hash-Dumps nicht knacken konnten, haben sie sich auf den Okta-Servern zur zentralisierten Zugriffsverwaltung umgeschaut.

In diesem Moment haben die Verantwortlichen bei MGM ihre kompletten Okta-Systeme in einer "übereilten Entscheidung" heruntergefahren. Zu diesem Zeitpunkt geben die Gangster an, bereits über globale Admin-Rechte für die Okta-Server und Azure zu verfügen. Den MGM-Netzwerk-Admins werfen sie vor, dass sie nicht verstehen würden, wie ihr eigenes Netzwerk funktioniert.

Erst, nachdem sie bereits einen Tag im MGM-System waren, haben sie eigenen Angaben zufolge über 100 ESXi-Hypervisors mit Ransomware verschlüsselt. Eine Kontaktaufnahme zum Opfer via Chat und E-Mail sei nicht zustande gekommen. Um zu demonstrieren, dass sie bereits sensible Daten abgezogen haben, haben sie den Link zu erbeuteten Daten mit einer Kombination aus Passwörtern von zwei Führungskräften geschützt. Zusätzlich haben sie auch deren Ausweise mitgeschickt.

ALPHV erläutert, dass sie immer noch auf Teile des MGM-Systems Zugriff haben und weitere Attacken ausführen, wenn der Deal nicht zustande kommt.

Da MGM nicht auf die Kontaktaufnahme reagiert, geht ALPHV davon aus, dass der Deal nicht zustande kommt. Wie der Deal aussieht, verschweigen die Erpresser bislang. An dieser Stelle im Statement werfen sie der Casino-Kette Insiderhandel vor, gepaart mit Giert, Inkompetenz und Korruption.

Im nächsten Abschnitt der Klarstellung bekommen verschiedene Journalisten, unter anderem von der Financial Times, ihr Fett weg und ihnen wird die Verbreitung von Fake News vorgeworfen. Eigenen Angaben zufolge ging es den Erpressern niemals darum, dass Spielautomaten Geld ausspucken. Denn das würde das Zustandekommen des "Geschäfts" mit MGM gefährden.

Weiterhin beschweren sich die Kriminellen darüber, dass Medien sie für den Hack verantwortlich gemacht haben, bevor die Gruppe sich zu dem Angriff bekannt hat. Aber wie soll das auch möglich sein, wenn die Gruppe sich eigenen Angaben zufolge bisher weder privat noch öffentlich zu einem Angriff bekannt hat. Sie geben an, nicht mit Journalisten oder Twitter-/X-Nutzern zu sprechen. Neuigkeiten zu ihren Taten gebe es nur auf ihrer Website.

Das Statement der ALPHV-Gruppe hinterlässt einen schalen Beigeschmack und am Ende bleibt unklar, was die Cyberkriminellen eigentlich wollen. Sie versuchen sich, als eine Art Gutmensch darzustellen, der die böse Casino-Kette in vermeintlicher Robin-Hood-Manier attackiert und die gemeinen Medien kritisiert. Wenn sie am Ende aber nur auf eine horrende Lösegeldzahlung aus sind, sind sie am Ende auch nur eine weitere Gruppe von 08/15-Kriminellen.

Mehr von heise Security Mehr von heise Security [2]

(des [3])


URL dieses Artikels:
https://www.heise.de/-9306135

Links in diesem Artikel:
[1] https://www.heise.de/news/Ransomware-Verdacht-Sicherheitsvorfall-bei-US-Hotelkette-MGM-Resorts-9301726.html
[2] https://www.heise.de/security
[3] mailto:des@heise.de