Dans une astuce qui rappelle un film de braquage, les pirates qui auraient violé la sécurité des casinos de MGM ce mois-ci avaient initialement prévu de manipuler le logiciel qui faisait fonctionner les machines à sous et de « recruter des mules pour jouer et traire les machines ».
Contrarié dans ce plan, le groupe s’est appuyé sur une formule vieille de dix ans qui a rapporté des milliards de dollars aux opérateurs de ransomwares : ils ont siphonné les données de l’entreprise, en ont crypté une partie et exigent maintenant que la cryptomonnaie les libère.
Dans une interview sur l’application de messagerie Telegram, une personne prétendant représenter le groupe a décrit les techniques utilisées pour échapper à la détection dans les systèmes de l’un des plus grands opérateurs de casino au monde.
À lire absolument
Cet article a été présenté dans le bulletin d’information One Must-Read, où nous recommandons une histoire remarquable chaque jour de la semaine. Enregistrez-vous pour recevoir le bulletin d’informations ici
Bien que leurs affirmations ne puissent pas être vérifiées de manière indépendante, des chercheurs en sécurité familiers avec le groupe surnommé « Scattered Spider » ont déclaré que les descriptions techniques fournies au Financial Times correspondaient aux attaques contre au moins 100 autres victimes au cours des deux dernières années.
MGM, dont la capitalisation boursière s’élève à 14,6 milliards de dollars, n’a pas répondu aux courriels sollicitant des commentaires. Le Conseil de contrôle des jeux du Nevada a déclaré du jour au lendemain que le gouverneur de l’État, Joe Lombardo, travaillait avec les forces de l’ordre sur le piratage, qui a laissé des milliers de clients sans carte-clé fonctionnelle pour leurs chambres d’hôtel et a forcé les machines à sous hors ligne dans les casinos MGM aux États-Unis.
Le propriétaire de certains de ces célèbres casinos du Strip de Las Vegas, notamment le Bellagio, l’Aria, le Cosmopolitan et le Mandalay Bay, a dû recourir au jeu en « mode manuel », notamment des paiements en espèces et certaines reconnaissances de dette manuscrites, selon la société et reportages sur les réseaux sociaux.
La personne a refusé de dire comment le groupe avait initialement eu accès aux systèmes de MGM. Dans le passé, Scattered Spider était connu pour utiliser des appels téléphoniques bien répétés pour aider les bureaux à obtenir de nouveaux mots de passe ou à générer des codes d’authentification multifactoriels pour un employé qu’ils avaient surveillé via les médias sociaux, et à compromettre la carte SIM de leur téléphone d’entreprise via une pratique appelée SIM- Hameçonnage.
Les membres du groupe – qui se font appeler « Spider-1 », « Spider-2 » et « Spider-3 » – ont échappé à la détection de l’équipe de sécurité de l’entreprise en utilisant un logiciel de connexion à distance commun et en accédant au VPN d’entreprise de MGM pour usurper l’identité. l’empreinte numérique d’un employé. Ils ont exécuté leurs logiciels malveillants à distance et affirment avoir pénétré le système dans les cinq heures suivant le début de l’attaque et avoir échappé à la détection pendant huit jours.
Ils ont réussi car, contrairement aux cybercriminels russophones qui dominent l’industrie des ransomwares, l’équipe de Scattered Spider parle couramment l’anglais. Mandiant Consulting, une société de cybersécurité appartenant à Google, soupçonne que ses membres sont basés aux États-Unis et en Europe.
« Ce groupe est aujourd’hui l’un des auteurs de menaces les plus répandus et les plus agressifs qui affectent les organisations aux États-Unis », a déclaré Charles Carmakal, directeur de la technologie chez Mandiant.
« Même si les membres du groupe sont peut-être moins expérimentés et plus jeunes que la plupart des groupes de ransomwares établis et des acteurs d’espionnage nationaux, ils constituent une menace sérieuse, avec de nombreux anglophones natifs et des ingénieurs sociaux incroyablement efficaces », a-t-il déclaré.
Comme d’autres hackers après une brèche réussie, celui qui prétendait représenter les cybercriminels alternait entre vantardise et discrétion dans ses échanges avec les journalistes. L’objectif est de faire pression sur MGM pour qu’elle paie avant que des informations plus embarrassantes ne soient partagées publiquement.
« Après tout, Scattered Spider est un groupe de pentesters éthiques », a déclaré la personne, faisant référence aux testeurs d’intrusion, qui sont souvent embauchés par les entreprises pour rechercher les vulnérabilités de leurs systèmes.
Il s’agit d’un refrain courant parmi les cybercriminels, qui tentent de décrire leurs activités avec bravade et se cachent derrière de fausses déclarations de comportement éthique. « Lorsqu’une entreprise est infectée par notre ransomware (et choisit de payer) la rançon, nous contribuons à améliorer sa sécurité afin que cela ne devienne pas un problème continu à long terme », a déclaré la personne.
MGM a fermé une grande partie de son intranet d’entreprise pour contenir les pirates informatiques, a déclaré une personne proche du dossier. Cette mesure de protection a déclenché le chaos et a amené un examen minutieux des pratiques de sécurité dans l’ensemble de l’industrie des casinos.
Bloomberg News a rapporté que Caesars Entertainment, un rival de MGM, avait récemment payé une rançon de plusieurs millions de dollars à un gang de cybercriminels. Scattered Spider n’était pas à l’origine de ce piratage, a déclaré la personne représentant le groupe.
Caesars a révélé jeudi dans un dossier déposé auprès de la Securities and Exchange Commission que les pirates avaient accédé aux données personnelles, y compris les numéros de permis de conduire et peut-être les numéros de sécurité sociale, d’un « nombre important de membres dans la base de données ».
Il a ajouté qu’il avait « pris des mesures pour garantir que les données volées soient supprimées par l’acteur non autorisé ».
Le plan visant à manipuler les machines à sous de MGM a probablement échoué parce que les attaquants ne connaissaient pas le code derrière elles, a déclaré Lior Frenkel, directeur général de la société israélienne Waterfall, qui assure la cybersécurité de plusieurs casinos de la Strip de Las Vegas.
En effet, les pirates informatiques utilisent une boîte à outils générique conçue pour fonctionner dans un large éventail d’entreprises, quel que soit le secteur.
« Si une entreprise a de l’argent et qu’elle répond à nos exigences, peu importe le domaine dans lequel elle évolue, nous l’atteindrons », a déclaré la personne représentant Scattered Spider. Ils évitent de pirater les hôpitaux, « parce que c’est une peine (de prison) qui ne demande qu’à arriver », les aéroports sont du « terrorisme » et l’industrie gazière a des systèmes sur mesure qui sont « cancéreux à manœuvrer ».
La plupart des hacks de casino étaient beaucoup plus simples, a déclaré Frenkel, tout en restant efficaces. « Ils ne se soucient pas du fait que votre entreprise soit une activité de jeu, ils recherchent simplement le moyen le plus simple d’y accéder », a-t-il déclaré, faisant référence aux pirates informatiques. « Entrez dans n’importe quel système de gestion de bâtiment dont vous disposez – la climatisation, les ascenseurs – et fermez-les, ou dites que vous le ferez et que (l’entreprise) paiera. »
Dans un cas dont il avait connaissance, les pirates ont eu accès au système de sécurité incendie et ont menacé de l’éteindre et de forcer la fermeture du casino. Ils ont été payés par l’exploitant du casino, a-t-il précisé, refusant de nommer la victime.
Scattered Spider était déjà occupé à travailler sur son prochain hack, a déclaré la personne représentant le groupe. Trop occupé, en fait, pour avoir vu Océan 13la comédie de braquage de George Clooney et Brad Pitt de 2007 dans laquelle les voleurs découvrent comment truquer les machines à sous dans les casinos pour offrir des jackpots instantanés.
« Je vais le regarder ce soir », a déclaré la personne.