Deux casinos, deux réponses aux rançongiciels chez Caesars et MGM : l'un a payé, l'autre non,

Payer ou ne pas payer, telle est la question

Caesars Entertainment et MGM Resorts semblent ont été ciblées par des groupes de cybercriminels connus. ALPHV, également connu sous le nom de Black Cat, a revendiqué l'attaque contre MGM, tandis qu'un groupe affilié, qui se fait appeler Scattered Spider, a attaqué Caesars. Caesars a admis l'intrusion, affirmant avoir pris des mesures pour supprimer les données volées, probablement en payant la rançon négociée à 15 millions de dollars. D'un autre côté, MGM a refusé de payer, subissant une semaine de perturbations et de pertes financières d'environ 100 millions de dollars, avec des données volées divulguées.

Les analystes suggèrent que payer la rançon peut sembler être la voie la moins douloureuse, mais les décisions dépendent de nombreux facteurs, tels que le type de données compromises, les sauvegardes disponibles, l'impact financier, et la pression éthique et légale. En outre, les sanctions gouvernementales contre les criminels peuvent influencer ces choix, soulignant la nécessité d'efforts internationaux pour perturber l'écosystème des rançongiciels.


Il est notable que l'attaque contre Caesars a précédé de quelques semaines celle dirigée contre MGM Resorts, laquelle a entraîné des perturbations massives dans les opérations de MGM. Cette situation a provoqué des retards importants lors des enregistrements des clients, paralysant les systèmes de paiement électronique, les cartes-clés numériques, les machines à sous, les guichets automatiques et les services de stationnement payant, tout en maintenant le site web et l'application mobile de la société hors ligne pendant près de quatre jours.

Les leçons de caesars entertainment et mgm resorts face a une augmentation mondiale des cyberattaques

Les deux entreprises rejoignent ainsi les statistiques d'une tendance mondiale, les cyberattaques ayant connu une augmentation de 156 % au deuxième trimestre de l'année 2023 par rapport aux trois premiers mois, selon un rapport du Forum économique mondial. Les grandes entreprises, en particulier, sont des cibles particulièrement lucratives, avec MGM Resorts et Caesars Entertainment ayant généré respectivement des revenus de 13 et 11 milliards de dollars l'année dernière.

Caesars Entertainment est le plus grand propriétaire de casinos au monde, avec plus de 65 millions de membres récompensés et des établissements dans 18 États et au Canada sous les marques Caesars, Harrah's, Horseshoe et Eldorado. Il propose également des activités mobiles et en ligne, ainsi que des paris sportifs.

MGM Resorts est le plus grand employeur privé du Nevada. Il exploite des dizaines de milliers de chambres d'hôtel à Las Vegas dans son établissement phare MGM Grand et dans des établissements tels que Bellagio, Aria, New York-New York et Mandalay Bay. Il exploite également des complexes hôteliers en Chine et à Macao. Il emploie 75 000 personnes aux États-Unis et à l'étranger. MGM possède des établissements dans le Maryland, le Massachusetts, le Michigan, le Mississippi, le New Jersey, New York et l'Ohio.

Le 7 septembre, Caesars Entertainment, propriétaire de plus de 50 centres de villégiature et casinos à Las Vegas et dans 18 autres États américains, a informé la SEC de l'intrusion par le biais d'un formulaire 8-K. Dans son rapport à l'organisme de surveillance financière, Caesars a attribué l'incident à une « attaque d'ingénierie sociale sur un prestataire de services informatiques externalisé », confirmant ultérieurement qu'il s'agissait d'Okta. Les cybercriminels ont réussi à voler la base de données du programme de fidélisation des clients, contenant une importante quantité d'informations personnelles »

Un avis 8-K est un document que les sociétés cotées en bourse aux États-Unis doivent déposer auprès de la Securities and Exchange Commission (SEC) lorsqu’elles font face à des événements importants qui affectent leurs activités. Ces événements peuvent inclure, par exemple, des changements de direction, des fusions et acquisitions, des résultats financiers, des faillites, des litiges ou des violations de la sécurité. L’objectif d’un avis 8-K est d’informer les investisseurs et le public de manière rapide et transparente des faits susceptibles d’avoir un impact sur le cours de l’action ou la valeur de l’entreprise. Un avis 8-K doit être déposé dans les quatre jours ouvrables suivant l’événement déclencheur, sauf exceptions. Il doit contenir une description détaillée de l’événement.

La faiblesse humaine dans la cybersecurite

Les deux gangs de rançongiciels privilégient l'utilisation de l'ingénierie sociale pour infiltrer les systèmes informatiques des entreprises, une stratégie dans laquelle ils excellent, selon des experts en cybersécurité. ALPHV a vanté sa capacité à infiltrer le système de MGM en seulement 10 minutes, identifiant un employé technique de MGM sur LinkedIn et appelant le service d'assistance de la société. Scattered Spider a réussi à pénétrer le système de Caesars en trompant un employé d'un fournisseur tiers.

ALPHV, un acteur de la menace très actif, est présumé être à l'origine de nombreuses violations de données majeures au cours des dernières années. À travers une nouvelle manœuvre, le groupe de rançongiciels ALPHV a déposé une plainte auprès de la Securities and Exchange Commission des États-Unis à l'encontre de la société de logiciels MeridianLink. Cette plainte reproche à MeridianLink de ne pas avoir signalé au régulateur une prétendue violation de données causée par les membres du groupe. Cette tactique, rare voire inédite, vise à exercer une pression sur la victime afin de la pousser à payer une rançon.

La Securities and Exchange Commission a approuvé de nouvelles règles obligeant les entreprises cotées en bourse à divulguer toute violation de cybersécurité susceptible d'avoir un impact sur leurs résultats financiers dans un délai de quatre jours. Des dérogations à ce délai seront possibles en cas de risques graves pour la sécurité nationale ou publique nécessitant une divulgation différée. Ces règles récemment adoptées par un vote de 3 contre 2 imposent également aux sociétés cotées de fournir chaque année des informations détaillées sur leur gestion des risques liés à la cybersécurité, ainsi que sur l'expertise de leurs dirigeants dans ce domaine. L'objectif principal de ces mesures est d'assurer une protection accrue des investisseurs.

Alex Waintraub, expert en gestion de crise cybernétique chez CYGNVS, souligne qu'en dépit des dépenses substantielles des entreprises pour mettre en place des mesures de sécurité, les cybercriminels exploitent fréquemment des méthodes simples, comme l'ingénierie sociale. « C'est incroyable, » déclare-t-il, mettant en avant le fait que certaines entreprises investissent parfois des centaines de millions de dollars dans des dispositifs préventifs, de détection, de protection, et dans la réponse aux alertes des points d'extrémité. Et pourtant, ironiquement, les acteurs malveillants parviennent à s'introduire en utilisant des stratégies des plus simples et peu sophistiquées, telles que le clic sur un lien et la saisie d'informations d'identification.

Le succès continu de l'ingénierie sociale en tant que tactique démontre que les humains sont souvent le maillon faible de la chaîne, déclare Alex Hamerstone, directeur des solutions de conseil chez TrustedSec, une société de cybersécurité basée dans l'Ohio. « Si vous concevez une infrastructure informatique résiliente, le fait d'appeler une personne et d'obtenir un mot de passe, un lien ou quoi que ce soit d'autre ne devrait pas entraîner l'effondrement de toute votre entreprise. »

Contrairement à MGM, Caesars a affirmé que ses opérations en contact avec la clientèle n'ont pas été perturbées, mais a confirmé que la base de données du programme de fidélisation Caesars Rewards avait été compromis, incluant des numéros de permis de conduire et/ou de sécurité sociale. Bien que le montant exact de la rançon versée par Caesars ne soit pas révélé, le document déposé auprès de la SEC mentionne des dépenses liées à l'attaque. Les criminels déterminent souvent le montant de la rançon après avoir analysé les documents financiers de l'entreprise. Alex Waintraub souligne également des cas où les criminels ont supprimé la police d'assurance d'une entreprise de son système informatique pour éviter que la victime ne connaisse les termes de sa propre police.

Caesars a finalement choisi de payer la rançon pour s'assurer que les données volées soient supprimées par les cybercriminels. Alex Waintraub estime que Scattered Spider est susceptible de respecter sa promesse, soulignant l'importance de la réputation pour ces groupes. Le FBI recommande de ne pas payer de rançon aux pirates informatiques pour plusieurs raisons :

• payer la rançon encourage les pirates à continuer leurs attaques et à demander des sommes plus élevées ;
• payer la rançon ne garantit pas que les pirates restitueront les données ou qu'ils n'ont pas installé une porte dérobée pour revenir plus tard ;
• payer la rançon finance d'autres activités criminelles, comme le trafic d'armes, de drogues ou d'êtres humains ;
• payer la rançon peut exposer les victimes à des poursuites judiciaires si elles violent des sanctions ou des lois contre le financement du terrorisme ;
• payer la rançon ne résout pas le problème de fond, qui est le manque de sécurité et de prévention des systèmes informatiques.

Le FBI conseille plutôt aux victimes de ransomware de signaler immédiatement l'incident, de coopérer avec les autorités, de conserver les preuves et de restaurer leurs systèmes à partir de sauvegardes fiables. Le FBI dispose également de capacités techniques pour aider les victimes à déchiffrer leurs données sans payer la rançon.

« L'idée est que si vous continuez à leur donner de l'argent, ils continueront à agir de la sorte », explique Waintraub. Il arrive qu'une entreprise détermine que les données volées n'étaient pas aussi sensibles que le pensait l’acteur de la menace. Idéalement, il est possible de rétablir l'entreprise sans avoir à faciliter un paiement, mais parfois il n'y a pas d'autre moyen de rétablir l'entreprise.

La décision de payer ou de résister, les coulisses des décisions

Si Caesars a choisi de payer la rançon, MGM a décidé de ne pas payer, suivant les conseils du FBI. « Nous sommes heureux que tous nos hôtels et casinos fonctionnent normalement », a indiqué la société basée à Las Vegas sur X, la plateforme anciennement connue sous le nom de Twitter. Gregory Moody, professeur et directeur du programme de cybersécurité à l'université du Nevada, à Las Vegas, a cité des estimations selon lesquelles l'arrêt des...