Com poucos dias de diferença, ficamos sabendo de dois ataques de ransomware direcionados à duas grandes operadoras de cassino de Las Vegas, os grupos MGM Resorts e Caesars Entertainment. As redes Caesars e MGM são gigantes, elas operam vários cassinos que, somados, representam mais de 60 mil apartamentos em Las Vegas (hum, não lembro de onde tirei essa informação, rs, mas confia!).
Certamente esses ciberataques vão entrar para a história da segurança e serão contados e recontados em várias apresentações a partir de agora. Podemos apostar também que a MGM será a "nova Stuxnet" nas apresentações dos vendedores de produtos de segurança ao redor do mundo.
A diferença entre os dois casos? (spoiler alert!) O grupo Caesars foi atacado primeiro, mas pagou o resgate e ninguém percebeu o ocorrido. Já a MGM optou por não pagar o resgate aos ciber criminosos e teve suas operações fortemente impactadas por vários dias.
A treta começou quando a MGM divulgou a ocorrência de um problema de segurança em 11 de setembro, um incidente que afetou por vários dias seu site principal, os sistemas de reservas online e os serviços de seus cassinos, como caça-níqueis, terminais de cartão de crédito, caixas de estacionamento e caixas eletrônicos.
Além disso, deve-se incluir no cálculo uma despesa de cerca de 10 milhões referente a consultoria e serviços relacionados à resposta ao incidente. A empresa também revelou que o atacante teve acesso a dados pessoais de clientes anteriores a Março de 2019, incluindo nome, dados de contato, data de nascimento, número de licença de motorista, de seguro social (SSN) e, até mesmo, número de passaporte.
O excesso de notícias e rumores sobre o caso tornam o entendimento um pouco confuso, então fiquem a vontade para comentar se eu cometi algum engano aqui nesse post. O próprio grupo que atacou a MGM fez um post público, compartilhado pela imprensa, assumindo a autoria do ataque, comentando sobre como ele ocorreu e criticando a MGM pela sua estratégia de resposta a incidentes e a imprensa que, segundo eles, divulgaram informações falsas sobre o incidente, não validando suas fontes. Segundo eles, a MGM desligou seus computadores e sua rede antes mesmo do ransomware ser implantado e não responderam às tentativas de contato do grupo. Eles tomaram conhecimento que os criminosos haviam invadido seu ambiente Okta e o desligaram - mas naquele momento os criminosos já tinham obtido credenciais de administrador.
Com base nas diversas notícias e nas alegações feiras pelo grupo BlackCat/ALPHV, é possível construir uma linha do tempo com os principais acontecimentos relacionados a esse incidente:
- 08/09: Os cibercriminosos se infiltram na rede da MGM;
- 10/09: Os cibercriminosos tentam entrar em contato com a MGM, mas não são respondidos;
- 10/09: Na noite de domingo a MGM implementou restrições que barraram todo o acesso ao seu ambiente Okta (MGMResorts.okta.com);
- 11/09: Lançado com sucesso ataques de ransomware contra mais de 100 hipervisores ESXi no ambiente da MGM;.
- 11/09: a MGM anunciou oficialmente que sofreu um incidente cibernético afetando alguns de seus sistemas (o tweet foi removido posteriormente);
- 12/09: um post no perfil do vx-underground alega que os criminosos obtiveram acesso aos sistemas da MGM via engenharia social: eles procuraram funcionários no LinkedIn e entraram em contato como se fosse uma chamada do suporte técnico de TI;
- 12?09: Rumores de que a MGM não conseguirá pagar seus funcionários por causa do ciberataque;
- 14/09: A Caesars Entertainment notificou a ocorrência de um ciber ataque à SEC;
- 20/09: A MGM informou que todos os hotéis e cassinos voltaram a operar normalmente.
Tanto a MGM Resorts quanto a Caesars Entertainment foram vítimas do grupo cibercriminoso conhecido como Scattered Spider (ou Scatter Swine, 0ktapus ou UNC3944), agindo como afiliado da operação de ransomware ALPHV/BlackCat - uma das gangues mais ativas atualmente O Grupo-IB batizou o grupo de “0ktapus” porque ele tem como alvo os usuários dos serviços de gerenciamento de identidade e acesso da empresa Okta. Normalmente, eles usam mensagens de phishing para direcionar as vítimas para páginas semelhantes e roubar as credenciais no Okta.
O interessante é que esse caso chamou muito a atenção da mídia pelo grande impacto que o ciberataque causou nos cassinos da rede MGM, facilmente visível para o público: máquinas de jogos desligadas, sistemas de pagamento offline em restaurantes, lojas e até no estacionamento (que foi liberado, sem cobrança), além de filas gigantes para realizar o checkin e checkout nos hotéis do grupo, pois eles eram feitos manualmente.
Em 14 de Setembro,, bem no meio de todo o bafafá sobre o ataque à MGM, a rede de cassinos Caesars Entertainment relatou a ocorrência de um ciber ataque ao órgão regulador americano Securities and Exchance Commission (SEC). A ocorrência desse incidente passou desapercebido pois, logo que foi detectado, foi rapidamente resolvido com o pagamento de resgate. Segundo a notificação para a SEC, o incidente foi causado por um ataque de engenharia social em um fornecedor terceirizado de suporte em TI. Eles também notificaram que os criminosos obtiveram cópias de seu banco de dados de programas de fidelidade, que inclui números de carteira de motorista e/ou números de previdência social (SSN) de um número significativo de membros no banco de dados.
Segundo diversas notícias que surgiram, a Caesars pagou um resgate de US$ 15 milhões, valor que foi negociado após ser solicitado um resgate de US$ 30 milhões. Podemos inferir que o pagamento realmente ocorreu por essa frase no relatório enviado a SEC: "We have taken steps to ensure that the stolen data is deleted by the unauthorized actor, although we cannot guarantee this result." ("Tomamos medidas para garantir que os dados roubados sejam excluídos pelo ator não autorizado, embora não possamos garantir esse resultado.").
Segundo a Reuters, que disse ter entrado em contato com o grupo Scattered Spider, os cibercrminosos exfiltraram seis terabytes de dados dos sistemas da MGM Resorts e da Caesars Entertainment. Os cibercrminosos usaram um esquema de engenharia social para comprometer a rede do Caesars: um deles entrou em contato com o suporte técnico de TI da empresa como se fosse um funcionário, pedindo para alterar sua senha, segundo disseram pessoas familiarizadas com o assunto.
O CISO da Okta confirmou que os dois ataques cibernéticos exploraram a ferramenta da empresa como um vetor de acesso. Segundo ele, a Okta tem sido um foco persistente de interesse do grupo Scattered Spider há mais de um ano. Em 2022 eles realizaram uma série de ataques à indústria tecnológica e, recentemente, iniciaram uma nova onda de ataques que já incluem pelo menos 5 clientes da Okta, incluindo a MGM Resorts e o Caesars Entertainment.
Esta não é a primeira vez que a MGM lida com um incidente de hacking. A empresa de apostas esportivas online BetMGM relatou uma violação de dados em dezembro de 2022 que envolveu nomes, números de seguro social e informações financeiras de um número desconhecido de clientes. Em 2020, as informações pessoais de 10,6 milhões de usuários que se hospedaram no MGM Resorts vazaram em um fórum.
Acho que vale a pena encerrar esse post com a mensagem do CEO da MGM, agradecendo ao apoio dos clientes e funcionários:
PS (Adicionado em 16/11): A Microsoft publicou um relatório com análise do grupo Scattered Spider (que ela chama de "Octo Tempest"):
- Octo Tempestum é o grupo do cibercrime financeiro mais hostil
- Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction
Mais informações:
- Caesars ransom attack linked to MGM, tens of millions paid to hackers
- Okta confirms link to cyber attacks on Las Vegas casinos
- MGM, Caesars Entertainment hacked by 'Scattered Spider,' Bloomberg reports
- Hackers say they stole 6 terabytes of data from casino giants MGM, Caesars
- 2 Casino Ransomware Attacks: Caesars Paid, MGM Did Not (Forbes)
- MGM, Caesars Cyberattack Responses Required Brutal Choices
- Major Casinos Hacked Using Social Engineering Attacks
- Ataque ao MGM Resorts:
- MGM Resorts takes systems offline following cyberattack
- MGM still responding to wide-ranging cyberattack as rumors run rampant
- Grupo Blackcat conta como foi o ataque ao MGM Resorts
- MGM casino's ESXi servers allegedly encrypted in ransomware attack
- MGM Resorts ransomware attack led to $100 million loss, data theft
- FORM 8-K da MGM Resorts International para a SEC
- Ataque ao Caesars:
- Caesars Entertainment Reveals Major Ransomware Breach
- Caesars Entertainment confirms ransom payment, customer data theft
- Caesars Paid Ransom After Suffering Cyberattack
- Caesars Entertainment Reportedly Pays Ransom to Attackers
- Caesars Entertainment says customer data stolen in cyberattack
- FORM 8-K da Caesars Entertainment para a SEC
PS: Pequena atualização em 29/11 e 21.12.