Un simple appel téléphonique au service d'assistance serait à l'origine du piratage de l'exploitant de casinos MGM,

Mettant hors service les machines à sous et les cartes-clés des chambres d'hôtel

Un simple appel téléphonique au service d'assistance serait à l'origine du piratage de l'exploitant de casinos MGM
mettant hors service les machines à sous et les cartes-clés des chambres d'hôtel

Une bande de cybercriminels spécialisés dans les attaques de ransomwares et d'ingénieries sociales s'en serait prise à l'exploitant américain de casinos MGM Resorts International. Le groupe de pirates, appelé BlackCat, aurait réussi à hameçonner des identifiants de connexion d'employés de MGM à partir d'un simple appel téléphonique, ce qui lui a permis ensuite de pirater l'enseigne en 10 minutes. L'attaque a semé la panique, les machines à sous et les cartes-clés de milliers de chambres d'hôtel ont cessé de fonctionner et les transferts électroniques de gains ont ralenti. Ce chaos a entraîné la fermeture temporaire des établissements (casinos et hôtels) de MGM à travers les États-Unis.

Le groupe de pirates BlackCat, également connu sous l'appellation "ALPHV", serait un acteur très connu dans le milieu des ransomwares, et qui aurait déjà ciblé une bonne centaine d'organisations. Charles Carmakal, directeur technique chez Mandiant, une filiale de Google spécialisée dans la cybersécurité qui suit BlackCat depuis deux au moins deux ans, a déclaré que la plupart des victimes du groupe sont basées aux États-Unis et au Canada. « Ils sont très actifs, très perturbateurs, ils sèment le chaos et font du bon travail en s'introduisant dans les entreprises et en leur causant beaucoup de tort », a-t-il déclaré à propos de BlackCat dans un communiqué.

Récemment, BlackCat a ciblé et a semé la panique générale dans les établissements de l'exploitant américain de casinos MGM Resorts International. Et à en croire les dires de l'archive de logiciels malveillants vx-underground, tout serait parti d'un appel téléphonique de 10 minutes : « tout ce que le groupe de ransomware ALPHV a fait pour compromettre MGM Resorts a été de sauter sur LinkedIn, de trouver un employé, puis d'appeler le service d'assistance. Une entreprise évaluée à 33 900 000 000 $ a été vaincue par une conversation de 10 minutes ». Bien sûr, ces informations n'ont pas encore été confirmées par des experts indépendants en sécurité.


Les efforts déployés pour contenir l'attaque ont provoqué le chaos. Les machines à sous ont cessé de fonctionner, les transferts électroniques de gains ont ralenti et les cartes-clés de milliers de chambres d'hôtel n'ont plus fonctionné. Ni MGM ni le FBI n'ont décrit publiquement la nature de l'attaque qui a touché la chaîne de casinos et d'hôtels, et MGM n'a pas répondu aux demandes de commentaires. Mais le FBI a déclaré qu'il enquêtait, et le Nevada Gaming Control Board a été informé de l'impact de la brèche. En outre, le gouverneur de l'État, Joe Lombardo, a annoncé dans un communiqué qu'il se coordonnait avec les forces de l'ordre locales et nationales.

L'attaque aurait également retardé l'enregistrement des clients, interrompu les systèmes de stationnement payant et affecté le site Web de MGM, qui affiche toujours un message d'erreur depuis mercredi. De même, le site de réservation de MGM est en panne, invitant les clients à contacter le service clientèle pour toute question. « Nous sommes conscients que certains clients rencontrent des problèmes. Sachez que nos équipes travaillent d'arrache-pied pour que tout fonctionne, et nous vous tiendrons au courant dès que nous serons complètement rétablis », indique un message sur le site Web de MGM. Certains disent ne pas avoir été surpris par l'attaque.

David Kennedy, PDG de TrustedSec, une entreprise de cybersécurité basée dans l'Ohio, a déclaré qu'il n'était pas surpris par le piratage de MGM. « Les casinos ont le vent en poupe en ce moment », a-t-il déclaré, ajoutant qu'il avait répondu à des dizaines de cyberattaques de casinos. D'un autre côté, Brett Callow, analyste des menaces chez Emsisoft, une société de cybersécurité, a déclaré que les casinos sont un candidat évident pour les opérateurs de ransomware. « Ils ont de l'argent et leurs coûts d'indisponibilité sont élevés, ce qui signifie qu'ils sont plus enclins à payer », a-t-il déclaré. Cela dit, ils estiment qu'il n'est pas certain que MGM paie la rançon.


Pour le moment, il est difficile d'estimer l'ampleur des dégâts. Parmi les 19 établissements américains de MGM, on trouve une douzaine d'hôtels-casinos parmi les plus emblématiques de Las Vegas, dont le Bellagio, le Mandalay Bay et le Cosmopolitan. Mercredi, soit plus de 60 heures après l'attaque, les clients qui tentaient d'accéder au site Web de MGM étaient toujours accueillis par une page d'accueil qui s'excuse pour la gêne occasionnée. La responsabilité de BlackCat n'a pas encore été établie, mais selon le site vx-underground, MGM a probablement été victime d'un ransomware, ce qui l'a poussé à laisser hors service presque la totalité de ses activités.

Alex Hamerstone, directeur des solutions de conseil chez TrustedSec, a déclaré qu'il était normal que MGM ferme ses systèmes après la découverte de brèche. « En cas d'incident, il faut y mettre fin le plus rapidement possible et bloquer l'accès. Il n'est pas rare que les entreprises arrêtent elles-mêmes leurs systèmes pour empêcher la propagation », explique-t-il, précisant qu'il spécule sur la nature de la brèche en se basant sur les rapports. Il abonde dans le même sens que les experts du site vx-underground et suggère que la grande visibilité de la perturbation subie par MGM est un indice qui laisse penser qu'il s'agit d'une attaque par ransomware.

On ne sait pas encore exactement ce que les pirates de BlackCat ont en leur possession après l'attaque. Mais Hamerstone explique : « selon les incidents que nous avons observés, ils sont souvent multiples. Si les pirates ont chiffré votre système, ils demanderont une rançon pour vous donner la clé ou vous rendre l'accès. Mais il arrive aussi souvent qu'ils s'emparent de données et menacent de les divulguer si vous ne les payez pas ». Le montant de la rançon n'est pas non plus connu. Cela dit, Hamerstone estime qu'il ne faut pas oublier qu'il s'agit de groupes très sophistiqués et très bien organisés. « Ils font beaucoup de recherches », a déclaré Hamerstone.


Il a ajouté : « nous avons constaté qu'une fois que les attaquants sont entrés dans le système, ils recherchent parfois votre police d'assurance cybernétique pour voir quel est le montant de votre couverture, puis ils vous demandent ce montant ». Selon lui, même après le r...