Gli server ESXi dei casinò MGM sono stati presuntamente crittografati in un recente attacco ransomware. Secondo le informazioni disponibili, un affiliato del gruppo di ransomware BlackCat, noto anche come ALPHV, sarebbe dietro l’attacco che ha interrotto le operazioni di MGM Resorts, costringendo l’azienda a spegnere i sistemi IT. Ecco una disamina dettagliata degli eventi e delle implicazioni di questo attacco.
Dettagli dell’attacco
Il gruppo BlackCat ha dichiarato di aver infiltrato l’infrastruttura di MGM da venerdì e di aver crittografato oltre 100 hypervisor ESXi dopo che l’azienda ha disattivato l’infrastruttura interna. Hanno anche affermato di aver esfiltrato dati dalla rete e di mantenere l’accesso ad alcune infrastrutture di MGM, minacciando di lanciare nuovi attacchi a meno che non venga raggiunto un accordo per il pagamento di un riscatto.
Ransomware distribuito, dati MGM rubati
Il ricercatore di cybersecurity vx-underground è stato il primo a divulgare la notizia che gli attori della minaccia affiliati all’operazione di ransomware ALPHV avrebbero violato MGM attraverso un attacco di ingegneria sociale. Sebbene BleepingComputer non sia stato in grado di confermare la veridicità di questa informazione, l’amministratore di BlackCat/ALPHV ha confermato a BleepingComputer che uno dei loro “adverts” (affiliati) ha condotto l’attacco a MGM, specificando che non era lo stesso attore che aveva hackerato Western Digital a marzo.
Chi è Scattered Spider
Scattered Spider è considerato un gruppo di attori della minaccia noti per utilizzare una vasta gamma di attacchi di ingegneria sociale per violare le reti aziendali. Questi attacchi includono l’impersonificazione del personale dell’help desk per ingannare gli utenti a fornire credenziali, attacchi SIM swap per prendere il controllo del numero di telefono di un dispositivo mobile bersaglio, e attacchi di phishing per ottenere accesso ai codici di autenticazione multi-fattore. A differenza della maggior parte degli affiliati ai ransomware provenienti dai paesi della CSI, si ritiene che il gruppo di hacking sia composto da adolescenti e giovani adulti di lingua inglese, con età compresa tra 16 e 22 anni.
Misure preventive e risposta di MGM
Al momento, gli hacker affermano di non sapere quale tipo di dati abbiano rubato da MGM, ma promettono di estrarre informazioni pertinenti e condividerle online a meno che non raggiungano un accordo con MGM. Per esercitare ulteriore pressione sull’azienda, BlackCat ha minacciato di utilizzare il loro attuale accesso all’infrastruttura di MGM per “effettuare ulteriori attacchi”. BleepingComputer non è stato in grado di confermare in modo indipendente le affermazioni di BlackCat e MGM non ha risposto alle loro email.