En un truco que recuerda a una película de atracos, los piratas informáticos que supuestamente violaron la seguridad en los casinos de MGM este mes planearon originalmente manipular el software que ejecuta las máquinas tragamonedas y «reclutar mulas para apostar y ordeñar las máquinas».
Frustrado en ese plan, el grupo recurrió a una fórmula de hace una década que ha cosechado miles de millones de dólares para los operadores de ransomware: desviaron los datos de la compañía, cifraron algunos de ellos y ahora exigen criptomonedas para liberarlos.
En una entrevista a través de la aplicación de mensajería Telegram, una persona que afirmó representar al grupo describió las técnicas utilizadas para evadir la detección en los sistemas de uno de los operadores de casinos más grandes del mundo.
Una lectura obligada
Este artículo apareció en el boletín One Must-Read, donde recomendamos una historia notable cada día de la semana. Suscríbete al boletín aquí
Si bien sus afirmaciones no pueden verificarse de forma independiente, los investigadores de seguridad familiarizados con el grupo apodado «Scattered Spider» dijeron que las descripciones técnicas dadas al Financial Times coincidían con los ataques a al menos otras 100 víctimas en los últimos dos años.
MGM, que tiene una capitalización de mercado de 14.600 millones de dólares, no respondió a los correos electrónicos en busca de comentarios. La Junta de Control de Juegos de Nevada dijo durante la noche que el gobernador del estado, Joe Lombardo, estaba trabajando con las autoridades en el hackeo, que dejó a miles de huéspedes sin tarjetas de acceso funcionales para sus habitaciones de hotel y obligó a las máquinas tragamonedas a desconectarse en los casinos MGM de todo Estados Unidos.
El propietario de algunos de esos casinos históricos en el Strip de Las Vegas, incluidos el Bellagio, el Aria, el Cosmopolitan y el Mandalay Bay, tuvo que recurrir al juego en “modo manual”, incluidos pagos en efectivo y algunos pagarés escritos a mano, según la compañía y informes en las redes sociales.
La persona se negó a decir cómo el grupo obtuvo acceso inicialmente a los sistemas de MGM. En el pasado, se sabe que Scattered Spider utiliza llamadas telefónicas bien ensayadas a los servicios de asistencia técnica para obtener nuevas contraseñas o generar códigos de autenticación multifactor para un empleado al que habían vigilado a través de las redes sociales y había comprometido la tarjeta SIM de su teléfono corporativo a través de una práctica llamada SIM- suplantación de identidad.
Los miembros del grupo, que se refieren a sí mismos como «Spider-1», «Spider-2» y «Spider-3», evadieron la detección del equipo de seguridad de la empresa mediante el uso de un software de inicio de sesión remoto común y el acceso a la VPN corporativa de MGM para hacerse pasar por ellos. la huella digital de un empleado. Ejecutaron su malware de forma remota y afirman haber penetrado en el sistema cinco horas después de iniciar el ataque y evadir la detección durante ocho días.
Tuvieron éxito porque, a diferencia de los ciberdelincuentes de habla rusa que dominan la industria del ransomware, el equipo de Scattered Spider habla inglés con fluidez. Mandiant Consulting, una empresa de seguridad cibernética propiedad de Google, sospecha que sus miembros tienen su sede en Estados Unidos y Europa.
«Este grupo es uno de los actores de amenazas más frecuentes y agresivos que afectan a las organizaciones en los Estados Unidos en la actualidad», dijo Charles Carmakal, director de tecnología de Mandiant.
«Aunque los miembros del grupo pueden tener menos experiencia y ser más jóvenes que muchos de los grupos de ransomware establecidos y actores de espionaje de estados-nación, son una amenaza seria, tienen muchos hablantes nativos de inglés y son ingenieros sociales increíblemente efectivos», dijo.
Al igual que otros piratas informáticos después de una infracción exitosa, la persona que dice representar a los ciberdelincuentes alternaba entre alardes y discreción en sus conversaciones con los periodistas. El objetivo es presionar a MGM para que pague antes de que se comparta públicamente información más embarazosa.
«Después de todo, Scattered Spider es un grupo de pentesters éticos», dijo la persona, refiriéndose a los testers de penetración, que a menudo son contratados por empresas para buscar vulnerabilidades en sus sistemas.
Esta es una frase común entre los ciberdelincuentes, que intentan describir sus actividades con valentía y se esconden detrás de falsas afirmaciones de comportamiento ético. «Cuando una empresa está infectada con nuestro ransomware (y decide pagar) el rescate, ayudamos a mejorar su seguridad para que esto no se convierta en un problema continuo en el futuro», dijo la persona.
MGM cerró gran parte de su intranet corporativa para contener a los piratas informáticos, dijo una persona familiarizada con la situación. Esa medida de protección desencadenó el caos y ha llevado a un escrutinio de las prácticas de seguridad en toda la industria de los casinos.
Bloomberg News informó que Caesars Entertainment, un rival de MGM, había pagado recientemente un rescate multimillonario a una banda de ciberdelincuentes. Scattered Spider no estuvo detrás de ese hack, dijo la persona que representa al grupo.
Caesars reveló en una presentación ante la Comisión de Bolsa y Valores el jueves que los piratas informáticos habían accedido a datos personales, incluidos números de licencia de conducir y tal vez números de seguro social, de un «número significativo de miembros en la base de datos».
Añadió que había “tomado medidas para garantizar que el actor no autorizado elimine los datos robados”.
El plan para manipular las máquinas tragamonedas de MGM probablemente fracasó porque los atacantes no estaban familiarizados con el código detrás de ellas, dijo Lior Frenkel, director ejecutivo de Waterfall, con sede en Israel, que proporciona seguridad cibernética para varios casinos en Las Vegas.
Esto se debe a que los piratas informáticos utilizan un conjunto de herramientas genérico diseñado para funcionar en una gran variedad de empresas, independientemente de la industria.
«Si una empresa tiene dinero y cumple con nuestros requisitos, no importa en qué campo se encuentre, lo lograremos», dijo la persona que representa a Scattered Spider. Evitan piratear hospitales, “porque es una sentencia (de cárcel) a punto de suceder”, los aeropuertos son “terrorismo” y la industria del gas tiene sistemas hechos a medida cuyas maniobras son “cancerosas”.
La mayoría de los hacks a los casinos habían sido mucho más simples, dijo Frenkel, aunque aún eran efectivos. «No les importa que su negocio sea el juego; simplemente buscan la forma más fácil de entrar», dijo, refiriéndose a los piratas informáticos. “Ingrese a cualquier sistema de gestión de edificios que tenga (el aire acondicionado, los ascensores) y apáguelos, o diga que lo hará, y (la empresa) pagará”.
En un caso del que tenía conocimiento, los piratas informáticos obtuvieron acceso al sistema de seguridad contra incendios y amenazaron con apagarlo y obligar al casino a cerrar. Fueron pagados por el operador del casino, dijo, negándose a nombrar a la víctima.
Scattered Spider ya estaba ocupado trabajando en su próximo hack, dijo la persona que representa al grupo. De hecho, estaba demasiado ocupado para haber visto Océano 13la comedia de atracos de 2007 de George Clooney y Brad Pitt donde los ladrones descubren cómo manipular las máquinas tragamonedas de los casinos para generar premios instantáneos.
«Lo veré esta noche», dijo la persona.