[Segurança] O ataque de 100 milhões de dólares ao cassino MGM

Com poucos dias de diferença, ficamos sabendo de dois ataques de ransomware direcionados à duas grandes operadoras de cassino de Las Vegas, os grupos MGM Resorts e Caesars Entertainment. As redes Caesars e MGM são gigantes, elas operam vários cassinos que, somados, representam mais de 60 mil apartamentos em Las Vegas (hum, não lembro de onde tirei essa informação, rs, mas confia!).

Certamente esses ciberataques vão entrar para a história da segurança e serão contados e recontados em várias apresentações a partir de agora. Podemos apostar também que a MGM será a "nova Stuxnet" nas apresentações dos vendedores de produtos de segurança ao redor do mundo.

A diferença entre os dois casos? (spoiler alert!) O grupo Caesars foi atacado primeiro, mas pagou o resgate e ninguém percebeu o ocorrido. Já a MGM optou por não pagar o resgate aos ciber criminosos e teve suas operações fortemente impactadas por vários dias.

A treta começou quando a MGM divulgou a ocorrência de um problema de segurança em 11 de setembro, um incidente que afetou por vários dias seu site principal, os sistemas de reservas online e os serviços de seus cassinos, como caça-níqueis, terminais de cartão de crédito, caixas de estacionamento e caixas eletrônicos.

Apesar da MGM não ter informado inicialmente a natureza do ataque cibernético, rapidamente diversos veículos da imprensa noticiaram que foi um incidente de ransomware, muitas vezes com base nas informações compartilhadas pela empresa vx-underground. O ataque foi atribuído à uma afiliada da gangue de ransomware BlackCat/ALPHV conhecida como Scattered Spider.

Desde então seu site ficou fora do ar e, nas redes sociais, os clientes relataram problemas generalizados nos cassinos, desde caça-níqueis fora do ar até chaves de quartos sem funcionar. Incapazes de cobrar os clientes, os estacionamentos foram liberados. Os clientes compartilharam fotos e vídeos de medidas temporárias que os cassinos tomaram para tentar continuar suas operações enquanto os sistemas estavam inoperantes.

   

Há relatos de que as máquinas de jogos dos cassinos estavam funcionando "offline", ou seja, sem qualquer comunicação com os sistemas da MGM. Por isso, as operações delas tinham que ser feitas manualmente, principalmente para retirar o dinheiro apostado (para receber o que ganhou ou simplesmente resgatar o que sobrou do dinheiro depositado na máquina). Por isso, os clientes tinham que esperar pacientemente, por muito tempo, a chegada de um funcionário do cassino para receber a devolução do dinheiro nas máquinas de jogos, já que esse processo estava sendo feito manualmente.

A MGM possui vários cassinos de grande destaque e alto custo em Las Vegas, incluindo o Mandalay Bay, Bellagio, Cosmopolitan e Aria. Como o faturamento do grupo é estimado em 25 milhões de dólares por dia, então o impacto financeiro desse ciber ataque é, para dizer o mínimo, milionário!

Em 05 de outubro a MGM Resorts revelou, em seu relatório para a Comissão de Valores Mobiliários dos EUA (Securities and Exchange Commission, SEC) que o ataque cibernético causou um impacto negativo na ordem de...

100 milhões de dólares

Além disso, deve-se incluir no cálculo uma despesa de cerca de 10 milhões referente a consultoria e serviços relacionados à resposta ao incidente. A empresa também revelou que o atacante teve acesso a dados pessoais de clientes anteriores a Março de 2019, incluindo nome, dados de contato, data de nascimento, número de licença de motorista, de seguro social (SSN) e, até mesmo, número de passaporte.

O excesso de notícias e rumores sobre o caso tornam o entendimento um pouco confuso, então fiquem a vontade para comentar se eu cometi algum engano aqui nesse post. O próprio grupo que atacou a MGM fez um post público, compartilhado pela imprensa, assumindo a autoria do ataque, comentando sobre como ele ocorreu e criticando a MGM pela sua estratégia de resposta a incidentes e a imprensa que, segundo eles, divulgaram informações falsas sobre o incidente, não validando suas fontes. Segundo eles, a MGM desligou seus computadores e sua rede antes mesmo do ransomware ser implantado e não responderam às tentativas de contato do grupo. Eles tomaram conhecimento que os criminosos haviam invadido seu ambiente Okta e o desligaram - mas naquele momento os criminosos já tinham obtido credenciais de administrador.

Com base nas diversas notícias e nas alegações feiras pelo grupo BlackCat/ALPHV, é possível construir uma linha do tempo com os principais acontecimentos relacionados a esse incidente:

• 08/09: Os cibercriminosos se infiltram na rede da MGM;
• 10/09: Os cibercriminosos tentam entrar em contato com a MGM, mas não são respondidos;
• 10/09: Na noite de domingo a MGM implementou restrições que barraram todo o acesso ao seu ambiente Okta (MGMResorts.okta.com);
• 11/09: Lançado com sucesso ataques de ransomware contra mais de 100 hipervisores ESXi no ambiente da MGM;.
• 11/09: a MGM anunciou oficialmente que sofreu um incidente cibernético afetando alguns de seus sistemas (o tweet foi removido posteriormente);
• 12/09: um post no perfil do vx-underground alega que os criminosos obtiveram acesso aos sistemas da MGM via engenharia social: eles procuraram funcionários no LinkedIn e entraram em contato como se fosse uma chamada do suporte técnico de TI;

• 12?09: Rumores de que a MGM não conseguirá pagar seus funcionários por causa do ciberataque;

• 14/09: A Caesars Entertainment notificou a ocorrência de um ciber ataque à SEC;
• 20/09: A MGM informou que todos os hotéis e cassinos voltaram a operar normalmente.

Tanto a MGM Resorts quanto a Caesars Entertainment foram vítimas do grupo cibercriminoso conhecido como Scattered Spider (ou Scatter Swine, 0ktapus ou UNC3944), agindo como afiliado da operação de ransomware ALPHV/BlackCat - uma das gangues mais ativas atualmente O Grupo-IB batizou o grupo de “0ktapus” porque ele tem como alvo os usuários dos serviços de gerenciamento de identidade e acesso da empresa Okta. Normalmente, eles usam mensagens de phishing para direcionar as vítimas para páginas semelhantes e roubar as credenciais no Okta.

O interessante é que esse caso chamou muito a atenção da mídia pelo grande impacto que o ciberataque causou nos cassinos da rede MGM, facilmente visível para o público: máquinas de jogos desligadas, sistemas de pagamento offline em restaurantes, lojas e até no estacionamento (que foi liberado, sem cobrança), além de filas gigantes para realizar o checkin e checkout nos hotéis do grupo, pois eles eram feitos manualmente.

Em 14 de Setembro,, bem no meio de todo o bafafá sobre o ataque à MGM, a rede de cassinos Caesars Entertainment relatou a ocorrência de um ciber ataque ao órgão regulador americano Securities and Exchance Commission (SEC).  A ocorrência desse incidente passou desapercebido pois, logo que foi detectado, foi rapidamente resolvido com o pagamento de resgate. Segundo a notificação para a SEC, o incidente foi causado por um ataque de engenharia social em um fornecedor terceirizado de suporte em TI. Eles também notificaram que os criminosos obtiveram cópias de seu banco de dados de programas de fidelidade, que inclui números de carteira de motorista e/ou números de previdência social (SSN) de um número significativo de membros no banco de dados.

Segundo diversas notícias que surgiram, a Caesars pagou um resgate de US$ 15 milhões, valor que foi negociado após ser solicitado um resgate de US$ 30 milhões. Podemos inferir que o pagamento realmente ocorreu por essa frase no relatório enviado a SEC: "We have taken steps to ensure that the stolen data is deleted by the unauthorized actor, although we cannot guarantee this result." ("Tomamos medidas para garantir que os dados roubados sejam excluídos pelo ator não autorizado, embora não possamos garantir esse resultado.").

Segundo a Reuters, que disse ter entrado em contato com o grupo Scattered Spider, os cibercrminosos exfiltraram seis terabytes de dados dos sistemas da MGM Resorts e da Caesars Entertainment. Os cibercrminosos usaram um esquema de engenharia social para comprometer a rede do Caesars: um deles entrou em contato com o suporte técnico de TI da empresa como se fosse um funcionário, pedindo para alterar sua senha, segundo disseram pessoas familiarizadas com o assunto. 

O CISO da Okta confirmou que os dois ataques cibernéticos exploraram a ferramenta da empresa como um vetor de acesso. Segundo ele, a Okta tem sido um foco persistente de interesse do grupo Scattered Spider há mais de um ano. Em 2022 eles realizaram uma série de ataques à indústria tecnológica e, recentemente, iniciaram uma nova onda de ataques que já incluem pelo menos 5 clientes da Okta, incluindo a MGM Resorts e o Caesars Entertainment.

Esta não é a primeira vez que a MGM lida com um incidente de hacking. A empresa de apostas esportivas online BetMGM relatou uma violação de dados em dezembro de 2022 que envolveu nomes, números de seguro social e informações financeiras de um número desconhecido de clientes. Em 2020, as informações pessoais de 10,6 milhões de usuários que se hospedaram no MGM Resorts vazaram em um fórum.

Acho que vale a pena encerrar esse post com a mensagem do CEO da MGM, agradecendo ao apoio dos clientes e funcionários:

PS (Adicionado em 16/11): A Microsoft publicou um relatório com análise do grupo Scattered Spider (que ela chama de "Octo Tempest"):

• Octo Tempestum é o grupo do cibercrime financeiro mais hostil
• Octo Tempest crosses boundaries to facilitate extortion, encryption, and destruction

PS/2 (Adicionado em 17/11): A CISA e o FBI também lançaram um relatório em conjunto no qual detalham o modus operandi e TTPs do Scattered Spider: Scattered Spider (AA23-320A).

PS3 (Adicionado em 21/12): Seguem algumas fotos da época do incidente, compartilhadas em redes sociais:

  

  

  

  

Mais informações:

• Caesars ransom attack linked to MGM, tens of millions paid to hackers
• Okta confirms link to cyber attacks on Las Vegas casinos
• MGM, Caesars Entertainment hacked by 'Scattered Spider,' Bloomberg reports
• Hackers say they stole 6 terabytes of data from casino giants MGM, Caesars
• 2 Casino Ransomware Attacks: Caesars Paid, MGM Did Not (Forbes)
• MGM, Caesars Cyberattack Responses Required Brutal Choices
• Major Casinos Hacked Using Social Engineering Attacks
• Ataque ao MGM Resorts:
• MGM Resorts takes systems offline following cyberattack
• MGM still responding to wide-ranging cyberattack as rumors run rampant
• Grupo Blackcat conta como foi o ataque ao MGM Resorts
• MGM casino's ESXi servers allegedly encrypted in ransomware attack
• MGM Resorts ransomware attack led to $100 million loss, data theft
• FORM 8-K da MGM Resorts International para a SEC
• Ataque ao Caesars:
• Caesars Entertainment Reveals Major Ransomware Breach
• Caesars Entertainment confirms ransom payment, customer data theft
• Caesars Paid Ransom After Suffering Cyberattack
• Caesars Entertainment Reportedly Pays Ransom to Attackers
• Caesars Entertainment says customer data stolen in cyberattack
• FORM 8-K da Caesars Entertainment para a SEC

PS: Pequena atualização em 29/11 e 21.12.