Le groupe de pirates BlackCat, également connu sous l'appellation "ALPHV", serait un acteur très connu dans le milieu des ransomwares, et qui aurait déjà ciblé une bonne centaine d'organisations. Charles Carmakal, directeur technique chez Mandiant, une filiale de Google spécialisée dans la cybersécurité qui suit BlackCat depuis deux au moins deux ans, a déclaré que la plupart des victimes du groupe sont basées aux États-Unis et au Canada. « Ils sont très actifs, très perturbateurs, ils sèment le chaos et font du bon travail en s'introduisant dans les entreprises et en leur causant beaucoup de tort », a-t-il déclaré à propos de BlackCat dans un communiqué.
Récemment, BlackCat a ciblé et a semé la panique générale dans les établissements de l'exploitant américain de casinos MGM Resorts International. Et à en croire les dires de l'archive de logiciels malveillants vx-underground, tout serait parti d'un appel téléphonique de 10 minutes : « tout ce que le groupe de ransomware ALPHV a fait pour compromettre MGM Resorts a été de sauter sur LinkedIn, de trouver un employé, puis d'appeler le service d'assistance. Une entreprise évaluée à 33 900 000 000 $ a été vaincue par une conversation de 10 minutes ». Bien sûr, ces informations n'ont pas encore été confirmées par des experts indépendants en sécurité.
Les efforts déployés pour contenir l'attaque ont provoqué le chaos. Les machines à sous ont cessé de fonctionner, les transferts électroniques de gains ont ralenti et les cartes-clés de milliers de chambres d'hôtel n'ont plus fonctionné. Ni MGM ni le FBI n'ont décrit publiquement la nature de l'attaque qui a touché la chaîne de casinos et d'hôtels, et MGM n'a pas répondu aux demandes de commentaires. Mais le FBI a déclaré qu'il enquêtait, et le Nevada Gaming Control Board a été informé de l'impact de la brèche. En outre, le gouverneur de l'État, Joe Lombardo, a annoncé dans un communiqué qu'il se coordonnait avec les forces de l'ordre locales et nationales.
L'attaque aurait également retardé l'enregistrement des clients, interrompu les systèmes de stationnement payant et affecté le site Web de MGM, qui affiche toujours un message d'erreur depuis mercredi. De même, le site de réservation de MGM est en panne, invitant les clients à contacter le service clientèle pour toute question. « Nous sommes conscients que certains clients rencontrent des problèmes. Sachez que nos équipes travaillent d'arrache-pied pour que tout fonctionne, et nous vous tiendrons au courant dès que nous serons complètement rétablis », indique un message sur le site Web de MGM. Certains disent ne pas avoir été surpris par l'attaque.
David Kennedy, PDG de TrustedSec, une entreprise de cybersécurité basée dans l'Ohio, a déclaré qu'il n'était pas surpris par le piratage de MGM. « Les casinos ont le vent en poupe en ce moment », a-t-il déclaré, ajoutant qu'il avait répondu à des dizaines de cyberattaques de casinos. D'un autre côté, Brett Callow, analyste des menaces chez Emsisoft, une société de cybersécurité, a déclaré que les casinos sont un candidat évident pour les opérateurs de ransomware. « Ils ont de l'argent et leurs coûts d'indisponibilité sont élevés, ce qui signifie qu'ils sont plus enclins à payer », a-t-il déclaré. Cela dit, ils estiment qu'il n'est pas certain que MGM paie la rançon.
All ALPHV ransomware group did to compromise MGM Resorts was hop on LinkedIn, find an employee, then call the Help Desk.
— vx-underground (@vxunderground) September 13, 2023
A company valued at $33,900,000,000 was defeated by a 10-minute conversation.
Pour le moment, il est difficile d'estimer l'ampleur des dégâts. Parmi les 19 établissements américains de MGM, on trouve une douzaine d'hôtels-casinos parmi les plus emblématiques de Las Vegas, dont le Bellagio, le Mandalay Bay et le Cosmopolitan. Mercredi, soit plus de 60 heures après l'attaque, les clients qui tentaient d'accéder au site Web de MGM étaient toujours accueillis par une page d'accueil qui s'excuse pour la gêne occasionnée. La responsabilité de BlackCat n'a pas encore été établie, mais selon le site vx-underground, MGM a probablement été victime d'un ransomware, ce qui l'a poussé à laisser hors service presque la totalité de ses activités.
Alex Hamerstone, directeur des solutions de conseil chez TrustedSec, a déclaré qu'il était normal que MGM ferme ses systèmes après la découverte de brèche. « En cas d'incident, il faut y mettre fin le plus rapidement possible et bloquer l'accès. Il n'est pas rare que les entreprises arrêtent elles-mêmes leurs systèmes pour empêcher la propagation », explique-t-il, précisant qu'il spécule sur la nature de la brèche en se basant sur les rapports. Il abonde dans le même sens que les experts du site vx-underground et suggère que la grande visibilité de la perturbation subie par MGM est un indice qui laisse penser qu'il s'agit d'une attaque par ransomware.
On ne sait pas encore exactement ce que les pirates de BlackCat ont en leur possession après l'attaque. Mais Hamerstone explique : « selon les incidents que nous avons observés, ils sont souvent multiples. Si les pirates ont chiffré votre système, ils demanderont une rançon pour vous donner la clé ou vous rendre l'accès. Mais il arrive aussi souvent qu'ils s'emparent de données et menacent de les divulguer si vous ne les payez pas ». Le montant de la rançon n'est pas non plus connu. Cela dit, Hamerstone estime qu'il ne faut pas oublier qu'il s'agit de groupes très sophistiqués et très bien organisés. « Ils font beaucoup de recherches », a déclaré Hamerstone.
— MGM Resorts (@MGMResortsIntl) September 12, 2023
Il a ajouté : « nous avons constaté qu'une fois que les attaquants sont entrés dans le système, ils recherchent parfois votre police d'assurance cybernétique pour voir quel est le montant de votre couverture, puis ils vous demandent ce montant ». Selon lui, même après le rétablissement de ses systèmes, MGM pourrait souffrir d'une atteinte à sa réputation à plus long terme : « nous avons constaté que les entreprises sont affectées différemment en matière de réputation. Dans le cas du commerce de détail, le fait est que, bien souvent, si les données des clients ont été violées, ils continueront à faire leurs achats. Ils aiment les prix, les produits ou autres ».
Hamerstone note : « mais imaginez que vous économisiez toute l'année pour aller à Las Vegas et que vous viviez cette expérience. Cela vous laissera un mauvais goût dans la bouche ». Ainsi, selon les experts, il est clair que ce que MGM a appelé un "problème de cybersécurité" sera extrêmement coûteux. Au cours du trimestre qui s'est achevé le 30 juin, MGM a indiqué que ses établissements du Strip de Las Vegas ont généré des recettes de 1,2 milliard de dollars, uniquement grâce aux chambres d'hôtel et aux casinos. Sur la base de ces chiffres, les établissements de la MGM situés sur le Strip de Las Vegas rapportent plus de 13 millions de dollars par jour.
La fermeture temporaire de plusieurs de ses établissements constitue donc un manque à gagner énorme pour MGM. Le FBI a mis en garde les casinos en personne et en ligne contre la menace croissante des cyberattaques qui ont touché plusieurs casinos ces dernières années. MGM a subi une attaque similaire en 2019 qui a exposé les données et les informations d'environ 10,6 millions de clients et, au début du mois, le groupe de pirates nord-coréens Lazarus a volé environ 41 millions de dollars en cryptomonnaies au casino en ligne et au site de paris, Stake.com. Selon les analystes, les incidents de ce type pourraient malheureusement se multiplier.
Source : MGM
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du vecteur d'attaque prétendument utilisé pour pirater la chaîne de casinos MGM ?
Selon vous, la formation des employés de MGM sur les menaces de sécurité est-elle en cause ?
Comment les employés peuvent-ils être formés pour faire face à ce type d'ingénierie sociale ?
À votre avis, quelle pourrait être l'ampleur des dégâts sur la chaîne américaine de casinos ?
Selon vous, MGM serait-elle tentée de payer la rançon en raison des pertes en vue ?
Voir aussi
Voici pourquoi les identifiants cloud sont les produits les plus recherchés sur les marchés des cybercriminels, selon une étude d'IBM
Un nouveau rapport lève le voile sur le marché de l'exploitation des vulnérabilités au cours du premier semestre 2023, l'exploit Adobe Commerce serait l'un des plus rentables, selon Flashpoint
Free : les données personnelles de 14 millions de clients en vente sur le dark Web, faux affirme Free
Seulement 14 % des entreprises récupèrent 100 % de leurs données à la suite d'une attaque par ransomware, selon une nouvelle étude de Enterprise Strategy Group