.
Atualizada A gigante dos cassinos Caesars Entertainment confirmou que criminosos roubaram um banco de dados contendo informações de clientes, incluindo carteira de motorista e números de seguro social de um “número significativo” de membros de seu programa de fidelidade, em um ataque de engenharia social no início deste mês.
A admissão vem como Resorts MGM entra no quarto dia de sistemas de TI e cassinos inoperantes após um “problema de segurança cibernética”. A gangue criminosa da Internet Scattered Spider, supostamente responsável por essa intrusão, teria se gabado de que tudo o que foi necessário para invadir as redes da corporação foi uma ligação de dez minutos para o suporte técnico.
Também foi relatado que a tripulação do aracnídeo atingiu o Caesars e o MGM Resorts, embora alguns representantes do Scattered Spider, também conhecido como 0ktapus, alegassem que só atingiram o MGM e não tiveram nada a ver com o ataque ao Caesars.
Então caiam Césares
Em um Formulário 8-K apresentado no final da semana passada à SEC, o órgão fiscalizador financeiro dos EUA, o Caesars – que possui mais de 50 resorts e cassinos em Las Vegas e 18 outros estados dos EUA – revelou o roubo de seu banco de dados de clientes, que atribuiu a “um ataque de engenharia social a um fornecedor terceirizado de suporte de TI.”
Césares se recusou a responder Strong The Oneperguntas. A invasão digital foi descoberta em 7 de setembro, de acordo com o arquivo da SEC. Os bandidos roubaram o banco de dados do programa de fidelidade Caesars, que estava repleto de informações pessoais confidenciais das pessoas.
“Ainda estamos investigando a extensão de qualquer informação pessoal adicional ou sensível contida nos arquivos adquiridos pelo ator não autorizado”, disse Caesars à SEC. “Até o momento, não temos evidências de que quaisquer senhas/PINs de membros, informações de contas bancárias ou informações de cartão de pagamento (PCI) tenham sido adquiridas pelo ator não autorizado.”
Ao perceber atividades suspeitas na rede de TI, o gigante do entretenimento disse que não apenas lançou imediatamente uma investigação, mas também contratou “empresas líderes em segurança cibernética” para ajudar em seus esforços de resposta e remediação de incidentes, e notificou as autoridades policiais e os reguladores estaduais de jogos.
Tudo isso parece bastante rotineiro, embora haja outra linha no processo da SEC que parece indicar extorsão – e um pagamento feito pela Caesars para potencialmente acabar com a dor:
Para nós, isso parece que quem invadiu os sistemas de TI roubou os dados e queria algum tipo de trapaça para manter a privacidade das informações. Strong The One pediu ao Caesars que esclarecesse quais medidas específicas foram tomadas, entre outras questões sobre o fiasco: quem é o terceirizador de TI não identificado? Quem estava por trás da invasão? Esses bandidos exigiram resgate e, em caso afirmativo, quanto e foi pago?
Ainda não recebemos resposta da corporação, mas atualizaremos esta história assim que o fizermos.
A extorsão parece uma aposta segura
Outros meios de comunicação estão relatando que foi, na verdade, um ataque de extorsão e que o Caesars pagou um resgate.
Vital Vegas no início desta semana sussurrou sobre ouvir “rumores” de que o Caesars estava tentando minimizar a notícia de um ataque cibernético. Bloomberg na quarta-feira, informou que a gigante dos cassinos pagou “dezenas de milhões de dólares a hackers” que invadiram e roubaram dados da empresa.
VitalVegas Atualizada sua cobertura do caso mais tarde naquele dia para relatar que o Caesars pagou US$ 15 milhões aos extorsionistas, abaixo da demanda de US$ 30 milhões, citando fontes não identificadas: “Não estamos inventando isso. O Caesars os acalmou como um episódio de ‘Pawn Stars’. “
Enquanto isso, à medida que a interrupção em massa no MGM Resorts entra em seu quarto dia, aquele gigante de cassinos e hotéis de Las Vegas emitiu uma segunda declaração sobre seu contínuo “problema de segurança cibernética”.
“Continuamos a trabalhar diligentemente para resolver nosso problema de segurança cibernética e, ao mesmo tempo, atender prontamente às necessidades individuais dos hóspedes”, afirmou. xeetado. Em resposta, os hóspedes do hotel compartilharam vídeos de cassinos vazios e máquinas caça-níqueis desconectadas, e questionou como cancelar reservas e obtenha um reembolso caso os sites, e-mail e aplicativos dos resorts ainda não funcionem.
Há um benefício: estacionamento grátis nas propriedades MGM Resorts.
Scattered Spider pega MGM em sua teia
Scattered Spider – com sede nos EUA e Reino Unido Gangue tipo Lapsus$ que especializa-se em ataques de engenharia social e é afiliado aos operadores de ransomware ALPHV – estaria por trás do desastre do MGM Resorts. Alega-se que tudo o que foi necessário para os malfeitores se infiltrarem no MGM Resorts foi encontrar um funcionário no LinkedIn e, em seguida, ligar para um suporte técnico, provavelmente para se passar por esse funcionário e obter acesso, ou algo parecido.
“Uma empresa avaliada em US$ 33.900.000.000 foi derrotada por uma conversa de dez minutos”, como centro nevrálgico da análise de malware VX-Subterrâneo colocá-lo.
Numa reviravolta interessante, e de acordo com um Tempos Financeiros relatório, um porta-voz da equipe com tema de aranha afirmou que esperava infectar software de caça-níqueis nas propriedades do MGM Resort para manipular o equipamento e, em seguida, “recrutar mulas para jogar e ordenhar as máquinas” de pagamentos.
Quando isso não foi possível, a gangue voltou ao seu método testado e comprovado – um simples telefonema para enganar algum funcionário infeliz – que funcionou no passado para chegar a um acordo. Okta e outro vítimas de alto perfil.
Dito isto, os membros do nexo ALPHV-Spider negaram ter ido atrás das máquinas caça-níqueis, dizendo: “Fazer isso não seria benéfico para nós e diminuiria as chances de qualquer tipo de acordo”.
MGM Resorts se recusou a responder Strong The Oneperguntas sobre a violação de segurança. ®
Atualizado para adicionar
Na quinta-feira, os criminosos por trás do ataque cibernético ao MGM Resorts decidiram “esclarecer as coisas” com uma declaração em seu blog na dark web. Esta missiva expõe, na sua opinião, o que realmente aconteceu na intrusão no MGM Resorts e no subsequente encerramento da TI.
Tecnicamente falando, a missiva foi emitida pela notória gangue de ransomware como serviço AlphaV, também conhecida como ALPHV e Gato preto, do qual Scattered Spider é afiliado ou subgrupo. De qualquer forma, a tripulação disse hoje que fez “várias tentativas” de entrar em contato com os executivos do resort, sem sucesso.
Sugerimos que você tome esta afirmação com uma grande dose de sal – afinal, estes são criminosos. “A MGM desligou computadores dentro de sua rede em resposta a nós”, dizia o comunicado. “Nenhum ransomware foi implantado antes da desativação inicial de sua infraestrutura por suas equipes internas.”
A gangue disse que invadiu o ambiente de TI do MGM Resorts na sexta-feira, 8 de setembro, e “estava à espreita [MGM Resorts’] Servidores Okta Agent farejando senhas de pessoas cujas senhas não puderam ser quebradas em seus hash dumps de controladores de domínio.” A gangue disse que a MGM percebeu que algo estava acontecendo e desligou os servidores Okta Sync da empresa, embora os invasores tenham conseguido obter e manter o superadministrador nível no Okta, “juntamente com privilégios de administrador global para seu locatário do Azure”.
Quando os administradores da rede MGM descobriram que não conseguiriam expulsar as pragas, a equipe fechou várias partes de sua infraestrutura na tentativa de conter os intrusos, disseram-nos.
“Depois de esperar um dia, lançamos com sucesso ataques de ransomware contra mais de 100 hipervisores ESXi em seu ambiente em 11 de setembro, depois de tentar entrar em contato, mas não conseguir”, vangloriou-se a gangue criminosa, acrescentando que o MGM Resorts parecia não estar disposto a negociar com os extorsionários para terminar o ataque. E se um acordo não for alcançado, o AlphaV poderá vazar dados, incluindo informações pessoais, roubados da corporação.
“Ainda continuamos a ter acesso a algumas infraestruturas da MGM. Se um acordo não for alcançado, realizaremos ataques adicionais”, dizia o comunicado.
“Continuamos esperando que a MGM crie um par e entre em contato, pois eles demonstraram claramente que sabem onde nos contatar”, acrescentou a gangue, referindo-se à observação de alguém entrando e saindo silenciosamente de uma sala de bate-papo configurada pelo AlphaV. para intermediar um acordo com sua vítima.
.
