Reciba actualizaciones gratuitas de seguridad cibernética
Te enviaremos un Resumen diario de myFT correo electrónico reuniendo lo último La seguridad cibernética noticias todas las mañanas.
Mientras MGM Resorts International y el FBI investigan un hackeo devastador en uno de los operadores de casinos más grandes del mundo, ha aparecido una pista tentadora en un foro clandestino para la compra y venta de credenciales robadas.
El 1 de septiembre, los operadores de un canal de Telegram llamado Spider Logs, dirigido por ciberdelincuentes que recopilan y revenden inicios de sesión, contraseñas y otra información de computadoras comprometidas, vendieron un conjunto de datos que contenía las credenciales de un ingeniero de TI de nivel medio en MGM, según Dynarisk, una empresa de seguridad cibernética con sede en Londres.
A otros 95 empleados de MGM les robaron sus credenciales de inicio de sesión y las revendieron en el mismo conjunto de datos, al igual que algunos de Caesars Entertainment, un rival de MGM que reveló en una presentación ante la Comisión de Bolsa y Valores el jueves que también había sido pirateado en las últimas semanas.
Es más probable que las credenciales de un empleado que trabaja en la división de TI de MGM o Caesars permitan el acceso al funcionamiento interno de las redes del operador del casino que las de, por ejemplo, un trabajador de recepción de un hotel.
No se pudo confirmar la posibilidad de que los piratas informáticos obtuvieran acceso a los sistemas de MGM mediante credenciales robadas. Pero la presencia de tantos detalles de los empleados en foros clandestinos subraya el riesgo que enfrentan las grandes corporaciones como MGM debido a los métodos variados y en constante evolución que los piratas informáticos utilizan para obtener acceso a las redes.
“Para empresas tan grandes y rentables como MGM y Caesars, habrían tenido los recursos disponibles para proteger sus datos y a sus clientes”, dijo Andrew Martin, director ejecutivo de Dynarisk. “Podrían haber hecho cosas para evitar esta violación que fueran relativamente simples, incluso si hubieran estado monitoreando el robo de estas credenciales y hubieran actuado”. [promptly]todo esto podría haberse evitado”.
El nombre de usuario y las contraseñas del conjunto de datos probablemente fueron robados de una computadora infectada con un malware llamado Línea roja, según Dynarisk, que se esconde detrás de copias pirateadas de videojuegos u otro software. La contraseña del empleado de TI de MGM para iniciar sesión en su empresa era “K@sper99!” y el de un empleado de TI de Caesars era “W@lmart1”.
Redline también roba y empaqueta cookies recién robadas, los pequeños fragmentos de información que los navegadores utilizan para identificar a los visitantes frecuentes de los sitios web, de modo que los usuarios no tengan que ingresar sus datos de inicio de sesión repetidamente.
Una persona que afirma representar a un grupo de piratas informáticos apodado Scattered Spider dijo al Financial Times el jueves que había llevado a cabo la infracción en MGM, incluido el intento de alterar las máquinas tragamonedas del casino.
El grupo supuestamente está detrás de al menos 100 ataques contra importantes corporaciones estadounidenses y se le considera una gran amenaza para las empresas occidentales.
Se sabe que sus miembros, en su mayoría piratas informáticos de habla inglesa de EE. UU. y Europa, se hacen pasar por un empleado que han estudiado en las redes sociales en llamadas telefónicas a los servicios de asistencia de la empresa donde intentan generar nuevas contraseñas.
En este caso, la persona que dice representar a Scattered Spider dijo que también había comprometido el número de teléfono de un empleado, lo que le permitió redirigir un mensaje de texto que contenía una contraseña de un solo uso a los piratas informáticos, en lugar del empleado.
Las contraseñas y los inicios de sesión robados eran para un sistema llamado Okta, creado por la empresa de gestión de identidades del mismo nombre con sede en San Francisco, cuyo software es utilizado por miles de empresas para verificar la identidad de sus empleados antes de otorgarles acceso a los sitios web internos de la empresa.
Un sitio web oscuro vinculado a un grupo con el que Scattered Spider ha trabajado en ocasiones dijo el viernes que “MGM tomó la apresurada decisión de cerrar todos y cada uno de sus servidores Okta después de enterarse de que habíamos estado acechando en sus servidores Okta”.
Okta, que tiene una capitalización de mercado de 13.600 millones de dólares, no respondió de inmediato a una solicitud de comentarios.
Martin de Dynarisk dijo que más empresas estaban en riesgo: otros conjuntos de datos que había visto comercializados recientemente incluían credenciales de empleados de más de 500 empresas más, incluidas Wells Fargo, WPP, Experian, Diageo, Wayfair, Epic Games y Adobe.
“Se avecinan más ataques de este tipo”, dijo.