MGM, Caesars Entertainment y The Venetian se Enfrentan a Ciberamenazas
Ataque a MGM
Un grupo de ransomware conocido como BlackCat, también identificado como APLHV, ha sido identificado como el autor detrás del ataque que paralizó las operaciones de MGM Resorts y forzó a la compañía a cerrar sus sistemas de TI.
BlackCat afirma haberse infiltrado en la infraestructura de MGM y cifrado más de 100 hipervisores ESXi, desencadenando una crisis interna. Además, aseguran haber extraído datos de la red y mantienen acceso a partes de la infraestructura de MGM, amenazando con lanzar nuevos ataques a menos que se llegue a un acuerdo de rescate.
La noticia inicialmente fue revelada por VX-Underground, que informó que los actores detrás del ransomware ALPHV presuntamente penetraron en MGM a través de un ataque de ingeniería social. MGM Resorts International confirmó que tuvo que desconectar sus sistemas de TI como resultado de este ciberataque, afectando sus sitios web, sistemas de reservas y servicios de casino, incluyendo cajeros automáticos, máquinas tragamonedas y terminales de tarjetas de crédito.
Aunque no se ha confirmado si estas afirmaciones son ciertas, el administrador de BlackCat/ALPHV confirmó que uno de sus afiliados llevó a cabo el ataque contra MGM. Diversas fuentes, como Scattered Spider (Crowdstrike), han estado rastreando al responsable de este ataque. Se cree que Scattered Spider también estuvo involucrado en un ataque a la red de Caesars Entertainment, que sugirió fuertemente la posibilidad de pagar un rescate para evitar la filtración de datos de clientes robados. La demanda de rescate se estimó en 30 millones de dólares. Scattered Spider es conocido por utilizar una amplia gama de ataques de ingeniería social para infiltrar redes corporativas.
BlackCat señala que MGM Resorts mantuvo silencio sobre el canal de comunicación proporcionado, lo que indica que la empresa no tenía intención de negociar un rescate. Los ciberdelincuentes alegan que, incluso después de tomar medidas de seguridad, todavía tenían acceso privilegiado en el entorno de MGM. Como respuesta a la falta de cooperación por parte de MGM, implementaron un ataque de ransomware con éxito el 11 de septiembre.
En la actualidad, los atacantes aseguran no saber qué tipo de datos se extrajeron de MGM, pero amenazan con revelar información en línea a menos que lleguen a un acuerdo con la compañía. También advierten sobre posibles ataques adicionales utilizando su acceso actual a la infraestructura de MGM.
Estos ataques incluyen tácticas como el engaño de usuarios para obtener credenciales, ataques de intercambio de SIM para tomar el control de números de teléfono móviles y técnicas de phishing para obtener acceso a códigos de autenticación multifactor.
A diferencia de la mayoría de los afiliados de ransomware que provienen de países de la CEI, se cree que este grupo de delincuentes está formado por jóvenes de habla inglesa, adolescentes y adultos jóvenes de entre 16 y 22 años. Además, los investigadores han notado similitudes entre Scattered Spider y el grupo Lapsus$, que comparte una composición similar de miembros y tácticas.
Link between Lapsus$ and UNC3944 source: Jake Nicastro, Mandiant, at Sleuthcon 2023
Ataque a Caesars Entertainment
Caesars Entertainment, la cadena de casinos más grande de Estados Unidos con un extenso programa de lealtad, confirmó haber pagado un rescate para evitar la filtración en línea de datos de clientes robados en un reciente ciberataque.
El ataque a Caesars, que se descubrió el 7 de septiembre, resultó en el robo de la base de datos de su programa de fidelización, que almacena información sensible, incluyendo números de licencia de conducir y números de seguro social de numerosos clientes. Aunque no se ha encontrado evidencia de que se hayan adquirido contraseñas/PIN de miembros, información de cuentas bancarias o datos de tarjetas de pago, Caesars tomó la decisión de pagar un rescate, que se estima en aproximadamente 15 millones de dólares, la mitad de la cantidad demandada por los atacantes.
Sin embargo, Caesars subraya que no puede garantizar la seguridad total, incluida la posibilidad de que los actores de amenazas continúen vendiendo o filtrando información robada de los clientes. La violación de datos afectó exclusivamente a los miembros del programa de fidelización.
Aunque Caesars no ha vinculado el ataque a un grupo de ciberdelincuentes específico, informes indican que el grupo conocido como Scattered Spider (UNC3944 y 0ktapus) podría estar detrás de este incidente. Afortunadamente, el ataque no afectó las operaciones de cara al cliente ni las aplicaciones de juegos en línea/móviles ni las propiedades físicas de Caesars, que continuaron funcionando sin interrupciones.
Ataque a The Venetian
El viernes, algunas máquinas tragamonedas en The Venetian Las Vegas experimentaron problemas técnicos, aunque los representantes de la propiedad aseguran que no fue un incidente relacionado con ciberseguridad y que el servicio se restableció rápidamente.
El portavoz de The Venetian informó que “experimentaron una breve interrupción en algunas de nuestras máquinas tragamonedas”, pero aclaró que no se trató de un incidente cibernético. Las máquinas tragamonedas afectadas ya han sido reparadas y se están brindando soluciones a los huéspedes afectados.
A pesar de este incidente, otros sistemas informáticos de la propiedad no se vieron afectados. La causa del apagón no se ha revelado oficialmente ni se ha anunciado si se está investigando.