Caesars Entertainment et MGM Resorts semblent ont été ciblées par des groupes de cybercriminels connus. ALPHV, également connu sous le nom de Black Cat, a revendiqué l'attaque contre MGM, tandis qu'un groupe affilié, qui se fait appeler Scattered Spider, a attaqué Caesars. Caesars a admis l'intrusion, affirmant avoir pris des mesures pour supprimer les données volées, probablement en payant la rançon négociée à 15 millions de dollars. D'un autre côté, MGM a refusé de payer, subissant une semaine de perturbations et de pertes financières d'environ 100 millions de dollars, avec des données volées divulguées. Les analystes suggèrent que payer la rançon peut sembler être la voie la moins douloureuse, mais les décisions dépendent de nombreux facteurs, tels que le type de données compromises, les sauvegardes disponibles, l'impact financier, et la pression éthique et légale. En outre, les sanctions gouvernementales contre les criminels peuvent influencer ces choix, soulignant la nécessité d'efforts internationaux pour perturber l'écosystème des rançongiciels.
Il est notable que l'attaque contre Caesars a précédé de quelques semaines celle dirigée contre MGM Resorts, laquelle a entraîné des perturbations massives dans les opérations de MGM. Cette situation a provoqué des retards importants lors des enregistrements des clients, paralysant les systèmes de paiement électronique, les cartes-clés numériques, les machines à sous, les guichets automatiques et les services de stationnement payant, tout en maintenant le site web et l'application mobile de la société hors ligne pendant près de quatre jours.
Les leçons de caesars entertainment et mgm resorts face a une augmentation mondiale des cyberattaques
Les deux entreprises rejoignent ainsi les statistiques d'une tendance mondiale, les cyberattaques ayant connu une augmentation de 156 % au deuxième trimestre de l'année 2023 par rapport aux trois premiers mois, selon un rapport du Forum économique mondial. Les grandes entreprises, en particulier, sont des cibles particulièrement lucratives, avec MGM Resorts et Caesars Entertainment ayant généré respectivement des revenus de 13 et 11 milliards de dollars l'année dernière.
Caesars Entertainment est le plus grand propriétaire de casinos au monde, avec plus de 65 millions de membres récompensés et des établissements dans 18 États et au Canada sous les marques Caesars, Harrah's, Horseshoe et Eldorado. Il propose également des activités mobiles et en ligne, ainsi que des paris sportifs.
MGM Resorts est le plus grand employeur privé du Nevada. Il exploite des dizaines de milliers de chambres d'hôtel à Las Vegas dans son établissement phare MGM Grand et dans des établissements tels que Bellagio, Aria, New York-New York et Mandalay Bay. Il exploite également des complexes hôteliers en Chine et à Macao. Il emploie 75 000 personnes aux États-Unis et à l'étranger. MGM possède des établissements dans le Maryland, le Massachusetts, le Michigan, le Mississippi, le New Jersey, New York et l'Ohio.
Le 7 septembre, Caesars Entertainment, propriétaire de plus de 50 centres de villégiature et casinos à Las Vegas et dans 18 autres États américains, a informé la SEC de l'intrusion par le biais d'un formulaire 8-K. Dans son rapport à l'organisme de surveillance financière, Caesars a attribué l'incident à une « attaque d'ingénierie sociale sur un prestataire de services informatiques externalisé », confirmant ultérieurement qu'il s'agissait d'Okta. Les cybercriminels ont réussi à voler la base de données du programme de fidélisation des clients, contenant une importante quantité d'informations personnelles »
Un avis 8-K est un document que les sociétés cotées en bourse aux États-Unis doivent déposer auprès de la Securities and Exchange Commission (SEC) lorsqu’elles font face à des événements importants qui affectent leurs activités. Ces événements peuvent inclure, par exemple, des changements de direction, des fusions et acquisitions, des résultats financiers, des faillites, des litiges ou des violations de la sécurité. L’objectif d’un avis 8-K est d’informer les investisseurs et le public de manière rapide et transparente des faits susceptibles d’avoir un impact sur le cours de l’action ou la valeur de l’entreprise. Un avis 8-K doit être déposé dans les quatre jours ouvrables suivant l’événement déclencheur, sauf exceptions. Il doit contenir une description détaillée de l’événement.
La faiblesse humaine dans la cybersecurite
Les deux gangs de rançongiciels privilégient l'utilisation de l'ingénierie sociale pour infiltrer les systèmes informatiques des entreprises, une stratégie dans laquelle ils excellent, selon des experts en cybersécurité. ALPHV a vanté sa capacité à infiltrer le système de MGM en seulement 10 minutes, identifiant un employé technique de MGM sur LinkedIn et appelant le service d'assistance de la société. Scattered Spider a réussi à pénétrer le système de Caesars en trompant un employé d'un fournisseur tiers.
ALPHV, un acteur de la menace très actif, est présumé être à l'origine de nombreuses violations de données majeures au cours des dernières années. À travers une nouvelle manœuvre, le groupe de rançongiciels ALPHV a déposé une plainte auprès de la Securities and Exchange Commission des États-Unis à l'encontre de la société de logiciels MeridianLink. Cette plainte reproche à MeridianLink de ne pas avoir signalé au régulateur une prétendue violation de données causée par les membres du groupe. Cette tactique, rare voire inédite, vise à exercer une pression sur la victime afin de la pousser à payer une rançon.
La Securities and Exchange Commission a approuvé de nouvelles règles obligeant les entreprises cotées en bourse à divulguer toute violation de cybersécurité susceptible d'avoir un impact sur leurs résultats financiers dans un délai de quatre jours. Des dérogations à ce délai seront possibles en cas de risques graves pour la sécurité nationale ou publique nécessitant une divulgation différée. Ces règles récemment adoptées par un vote de 3 contre 2 imposent également aux sociétés cotées de fournir chaque année des informations détaillées sur leur gestion des risques liés à la cybersécurité, ainsi que sur l'expertise de leurs dirigeants dans ce domaine. L'objectif principal de ces mesures est d'assurer une protection accrue des investisseurs.
Alex Waintraub, expert en gestion de crise cybernétique chez CYGNVS, souligne qu'en dépit des dépenses substantielles des entreprises pour mettre en place des mesures de sécurité, les cybercriminels exploitent fréquemment des méthodes simples, comme l'ingénierie sociale. « C'est incroyable, » déclare-t-il, mettant en avant le fait que certaines entreprises investissent parfois des centaines de millions de dollars dans des dispositifs préventifs, de détection, de protection, et dans la réponse aux alertes des points d'extrémité. Et pourtant, ironiquement, les acteurs malveillants parviennent à s'introduire en utilisant des stratégies des plus simples et peu sophistiquées, telles que le clic sur un lien et la saisie d'informations d'identification.
Le succès continu de l'ingénierie sociale en tant que tactique démontre que les humains sont souvent le maillon faible de la chaîne, déclare Alex Hamerstone, directeur des solutions de conseil chez TrustedSec, une société de cybersécurité basée dans l'Ohio. « Si vous concevez une infrastructure informatique résiliente, le fait d'appeler une personne et d'obtenir un mot de passe, un lien ou quoi que ce soit d'autre ne devrait pas entraîner l'effondrement de toute votre entreprise. »
Contrairement à MGM, Caesars a affirmé que ses opérations en contact avec la clientèle n'ont pas été perturbées, mais a confirmé que la base de données du programme de fidélisation Caesars Rewards avait été compromis, incluant des numéros de permis de conduire et/ou de sécurité sociale. Bien que le montant exact de la rançon versée par Caesars ne soit pas révélé, le document déposé auprès de la SEC mentionne des dépenses liées à l'attaque. Les criminels déterminent souvent le montant de la rançon après avoir analysé les documents financiers de l'entreprise. Alex Waintraub souligne également des cas où les criminels ont supprimé la police d'assurance d'une entreprise de son système informatique pour éviter que la victime ne connaisse les termes de sa propre police.
Caesars a finalement choisi de payer la rançon pour s'assurer que les données volées soient supprimées par les cybercriminels. Alex Waintraub estime que Scattered Spider est susceptible de respecter sa promesse, soulignant l'importance de la réputation pour ces groupes. Le FBI recommande de ne pas payer de rançon aux pirates informatiques pour plusieurs raisons :
- payer la rançon encourage les pirates à continuer leurs attaques et à demander des sommes plus élevées ;
- payer la rançon ne garantit pas que les pirates restitueront les données ou qu'ils n'ont pas installé une porte dérobée pour revenir plus tard ;
- payer la rançon finance d'autres activités criminelles, comme le trafic d'armes, de drogues ou d'êtres humains ;
- payer la rançon peut exposer les victimes à des poursuites judiciaires si elles violent des sanctions ou des lois contre le financement du terrorisme ;
- payer la rançon ne résout pas le problème de fond, qui est le manque de sécurité et de prévention des systèmes informatiques.
Le FBI conseille plutôt aux victimes de ransomware de signaler immédiatement l'incident, de coopérer avec les autorités, de conserver les preuves et de restaurer leurs systèmes à partir de sauvegardes fiables. Le FBI dispose également de capacités techniques pour aider les victimes à déchiffrer leurs données sans payer la rançon.
« L'idée est que si vous continuez à leur donner de l'argent, ils continueront à agir de la sorte », explique Waintraub. Il arrive qu'une entreprise détermine que les données volées n'étaient pas aussi sensibles que le pensait l’acteur de la menace. Idéalement, il est possible de rétablir l'entreprise sans avoir à faciliter un paiement, mais parfois il n'y a pas d'autre moyen de rétablir l'entreprise.
La décision de payer ou de résister, les coulisses des décisions
Si Caesars a choisi de payer la rançon, MGM a décidé de ne pas payer, suivant les conseils du FBI. « Nous sommes heureux que tous nos hôtels et casinos fonctionnent normalement », a indiqué la société basée à Las Vegas sur X, la plateforme anciennement connue sous le nom de Twitter. Gregory Moody, professeur et directeur du programme de cybersécurité à l'université du Nevada, à Las Vegas, a cité des estimations selon lesquelles l'arrêt des ordinateurs a coûté à la société jusqu'à 8 millions de dollars par jour, ce qui pourrait porter l'effet cumulé à 80 millions de dollars. Mais le professeur Moody a également fait remarquer que MGM Resorts déclare des revenus annuels supérieurs à 14 milliards de dollars, ce qui signifierait qu'elle réalise en moyenne au moins 270 millions de dollars de revenus par semaine.
La société a indiqué que les systèmes gérant les services de villégiature, la restauration, les divertissements, les piscines et les spas étaient opérationnels et que son site web et son application prenaient les réservations de restauration et de spa pendant que la société travaillait à rétablir les fonctions de réservation d'hôtel et de récompenses de fidélité. « Les propriétés de MGM Resorts à Las Vegas et dans tout le pays ont repris leurs activités normales », a déclaré le porte-parole Brian Ahern à l'Associated Press.
Selon les experts, les cybercriminels ont mis en évidence les faiblesses critiques de la cybersécurité chez MGM et Caesars et ont brisé l'image d'invulnérabilité des casinos. « À ce stade, tous les casinos devraient adopter la posture défensive la plus élevée possible et prendre des mesures actives pour vérifier l'intégrité de leurs systèmes et de leur environnement, et revoir - voire activer - leurs processus de réponse aux incidents », a déclaré Christopher Budd, directeur de la recherche sur les menaces à la société de cybersécurité Sophos X-Ops. « Plusieurs casinos ont été attaqués et il est possible que d'autres le soient. »
« Payer une rançon, c'est comparable à découper du fromage dans un ascenseur bondé, causant des souffrances aux autres », a souligné Brett Callow, analyste des menaces chez Emsisoft. Il explique ainsi que les entreprises qui cèdent aux demandes de rançon contribuent à perpétuer le problème des rançongiciels et à exposer d'autres entreprises à des attaques similaires. Il affirme que si personne ne payait, le problème des rançongiciels pourrait être éradiqué.
Cependant, en analysant les résultats des incidents survenus dans les deux casinos, il semble que le choix le plus évident et le moins douloureux soit de verser la rançon. Néanmoins, même en mettant de côté les dilemmes éthiques liés au financement d'organisations criminelles, la situation n'est pas aussi simple qu'il y paraît. Brett Callow souligne que les incidents survenus à la MGM et chez Caesars ne sont pas directement comparables, car la portée, les systèmes touchés, les procédures de sauvegarde, et d'autres facteurs peuvent différer. Il met en garde contre l'erreur de supposer que le rétablissement apparemment plus facile de Caesars est attribuable uniquement au paiement de la rançon.
Sources : Statements made to the media by MGM CEO Bill Hornbuckle, SEC, Caesars
Et vous ?
Êtes-vous pour ou contre le paiement des rançons aux cybercriminels ? « Les entreprises qui cèdent aux demandes de rançon contribuent à perpétuer le problème des rançongiciels et à exposer d'autres entreprises à des attaques similaires », partagez vous cette idée ? Que pensez-vous du choix de Caesars de payer la rançon pour s'assurer que les données volées soient supprimées par les cybercriminels ?Voir aussi :
Caesars cède au chantage et paie des millions de dollars aux hackers pour les empêcher de divulguer ses données, c'est le deuxième grand groupe de casinos de Las Vegas à être piraté en septembre MGM, un groupe hôtelier et de casinos, perd jusqu'à 8,4 M$ par jour alors qu'une cyberattaque paralyse les machines à sous et les hôtels, pour la huitième journée consécutive Les pirates de la génération Z qui ont attaqué MGM et Caesars seraient motivés par "le pouvoir, l'influence et la notoriété" en plus de l'argent, ils seraient "très doués" pour l'ingénierie sociale