.
Recurso A mesma equipe de crimes cibernéticos invadiu duas redes de cassinos de alto perfil em Las Vegas durante o verão, infectou ambas com ransomware e roubou dados pertencentes a dezenas de milhares de clientes das redes de mega-resorts.
Mas, apesar dos personagens e enredos semelhantes, estas duas histórias têm finais díspares – e parecem sugerir duas conclusões muito diferentes para as empresas confrontadas com as exigências dos extorsionários e com a questão de pagar ou não pagar um resgate.
A primeira, a Caesars Entertainment, proprietária de mais de 50 resorts e cassinos em Las Vegas e 18 outros estados dos EUA, divulgou a intrusão em um formulário 8-K enviado à SEC em 7 de setembro.
Em seu relatório ao órgão de fiscalização financeira, o Caesars citou um “ataque de engenharia social a um fornecedor terceirizado de suporte de TI”, que agora sabemos ser a Okta, e disse que os criminosos roubaram seu banco de dados do programa de fidelidade do cliente, que continha uma tonelada de informações pessoais.
O proprietário do cassino também observou, no processo, que “tomou medidas para garantir que os dados roubados sejam excluídos pelo ator não autorizado, embora não possamos garantir esse resultado”.
Acredita-se que essas etapas incluam o pagamento de um resgate – que teria sido negociado até US$ 15 milhões após uma demanda inicial de US$ 30 milhões.
Césares não respondeu a Strong The Oneperguntas sobre esta ou histórias anteriores sobre a infecção por ransomware.
O que acontece em Vegas…
Do lado de fora, pelo menos, parece que o Caesars sofreu danos mínimos e interrupções nos negócios, principalmente porque decidiu pagar o resgate. Enquanto isso, quando a violação do Caesars se tornou pública, o resort e cassino vizinho na Vegas Strip entrou no quarto dia de sistemas de TI e cassinos inoperantes após um “problema de segurança cibernética”.
Essa outra empresa, claro, é a MGM Resorts, que possui 31 hotéis e cassinos em todo o mundo. Assim como o Caesars, a MGM também era cliente da Okta e foi vítima de tentativas de phishing direcionadas às suas equipes de serviços de TI.
Scattered Spider, a gangue criminosa que se acredita ser responsável por ambas as invasões, supostamente se gabou de que tudo o que foi necessário para invadir as redes da MGM foi uma ligação de 10 minutos para o suporte técnico.
Mas, ao contrário do Caesars, a MGM fez não pagar o resgate. Desde então, o CEO da MGM Resorts, Bill Hornbuckle, disse que isso ocorre porque sua empresa já havia começado a reconstruir seus sistemas de TI. MGM também não respondeu a Strong The Onepedidos de comentários.
No final das contas, a MGM sofreu quase uma semana de interrupções operacionais e clientes irritados, custando à empresa cerca de US$ 100 milhões em perdas – e agora seus dados roubados foram supostamente vazou.
‘Como cortar o queijo em um elevador lotado’
Ao analisar o que o pagamento de ransomware acaba financiando (desenvolvimento de armas, regimes opressivos, mais crimes cibernéticos e invasões de rede), com todas as outras coisas sendo iguais, presumiríamos que a maioria das organizações optaria por não ceder às exigências de extorsão.
“Pagar um resgate é como cortar o queijo em um elevador lotado: faz outras pessoas sofrerem”, disse Brett Callow, analista de ameaças da Emsisoft. Strong The One. “Simplificando, as empresas que pagam mantêm o ransomware vivo e garantem que outras empresas serão atacadas. Se ninguém pagasse, não haveria mais ransomware.”
Mas quando olhamos para os resultados de ambos os casinos, parece que a escolha clara e menos dolorosa é pagar o resgate.
Ainda assim, mesmo que você esteja disposto a ignorar as questões éticas obscuras em torno do financiamento de organizações criminosas, não é tão simples assim.
“Os incidentes da MGM e do Caesars não são necessariamente comparáveis”, disse Callow. “Não sabemos o escopo de cada um, quais sistemas foram afetados, se os sistemas de backup foram afetados, etc., etc., etc. E seria um erro presumir que a recuperação aparentemente mais fácil do Caesar se deveu ao pagamento. ”
Além disso, os zagueiros da infosec têm visibilidade limitada sobre a higiene e estratégia de segurança de cada empresa, sua arquitetura de rede e até mesmo o relacionamento e a supervisão do conselho de administração. Tudo isso provavelmente também entrou na decisão do executivo do cassino, disse Megan Stifel, diretora de estratégia do Instituto de Segurança e Tecnologia e diretora executiva da Força-Tarefa de Ransomware do IST.
“A outra coisa que penso é: quem esteve envolvido no processo de negociação? Envolveram um negociador”, disse Stifel. Strong The One. “Embora exista essa percepção de que esses negociadores são parte do problema, acho que isso é uma atenção muito equivocada.”
Isso ocorre porque desvia a atenção dos dois grandes problemas que facilitam o ransomware – e o crime cibernético em geral, acrescentou Stifel. A saber: hardware e software inseguros e as próprias organizações criminosas. “Então por que é que as redes são tão queijo suíço que esses caras podem realmente tirar vantagem desse queijo suíço?”
Pagar ou não pagar?
Há uma série de fatores que influenciam a decisão de uma empresa de pagar ou não um resgate, de acordo com os respondentes do incidente.
“Isso inclui: o tipo de dados comprometidos, a disponibilidade de backups, o tempo e esforço relativos para restaurar a partir do backup versus descriptografar com a chave do ransomware, o impacto financeiro na organização associado ao tempo de inatividade e o grupo que conduz a extorsão, ” Sam Rubin, vice-presidente de consultoria da Unidade 42 da Palo Alto Networks, disse Strong The One.
“Muitas vezes é uma decisão muito difícil de tomar e, infelizmente, não existe uma maneira única de analisar esses cenários”, acrescentou Rubin. “O que funciona para uma organização pode não funcionar para outra.”
Além disso, as invasões digitais e os esforços de limpeza nem sempre ocorrem conforme o planejado.
“Em alguns casos, trabalhamos, a organização recusou-se a pagar o resgate, e então o nível de extorsão que ocorreu depois foi tão intenso que a organização nos disse que se arrependia de não ter pago apenas em primeiro lugar”, disse Rubin.
As organizações também precisam considerar o tipo de informação roubada no ataque. Se isso incluir registros de saúde ou dados pertencentes a ou sobre menores, eles podem estar mais inclinados a pagar a demanda em vez de vazar essas informações, disse Kimberly Goody, chefe de análise de crimes cibernéticos da Mandiant. Strong The One.
Também depende do sector, porque por vezes uma infecção por ransomware pode tornar-se uma situação de vida ou morte.
“Veja os hospitais que foram afetados e não conseguiram monitorar remotamente os quartos dos pacientes, então tiveram que contratar enfermeiros em cada um desses quartos para garantir que algo terrível não acontecesse”, disse Goody.
Goody também observou o ataque ao Oleoduto Colonial em 2021 e a escassez de combustível que se seguiu, bem como a decisão muito pública do CEO da empresa petrolífera de pagar aos bandidos.
“Você pode ver nesse incidente específico como ele teve efeitos em cascata que foram realmente impactantes para os cidadãos dos EUA na época”, disse ela. “Às vezes, quando você está prestando serviços realmente críticos, para voltar a ficar on-line rapidamente, infelizmente [you] você tem que tomar a decisão de pagar, mesmo que isso não seja algo que você realmente queira fazer.”
Sanções são importantes
As sanções governamentais são outro fator externo que pode influenciar a decisão de uma organização. Além dos problemas éticos de pagar aos criminosos, e assim financiar futuros ataques cibernéticos a mais vítimas, pagar aos extorsionistas pode, de facto, ser ilegal.
Uma equipe de crimes cibernéticos que a Mandiant rastreia como UNC2165, que tem ligações com a Evil Corp, começou a trocar o ransomware que implantou depois que os EUA sancionaram a Evil Corp em 2019 pelo desenvolvimento e uso do malware Dridex.
Isso proibiu os americanos “de se envolverem em transações” com a Evil Corp, e “pessoas estrangeiras podem estar sujeitas a sanções secundárias por facilitarem conscientemente uma transação ou transações significativas” com a gangue.
O UNC2165 “estava mudando continuamente a marca de ransomware que estava implantando, e acreditamos que eles fizeram isso porque estavam tendo problemas para receber pagamentos de organizações vítimas”, disse Goody.
Esses tipos de sanções e outros esforços coordenados entre governos que aumentam o custo dos negócios dos criminosos são o que é necessário para perturbar o ecossistema do ransomware, de acordo com Stifel do IST.
Ela considera as quedas de RagnarLocker, Hive e Qakbot entre os “sucessos operacionais deste ano na frente da coalizão internacional”, mas acrescenta que há muito mais a ser feito.
“Também precisamos pressionar os elementos do ecossistema da Internet que lhes permitiram continuar a operar impunemente”, disse Stifel. “Portanto, coisas como hosters à prova de balas, algumas exchanges e mixers, e empresas que hospedam carteiras que não seguem a lei em toda a extensão.”
“Estamos indo na direção certa”, disse ela. “E precisamos manter o pé no acelerador.” ®
.
