Paiement de rançon Scattered Spider chez Caesars Entertainment (2023)

Scattered Spider s'est fait passer pour un employé de Caesars lors d'un appel à un prestataire tiers de support informatique et a convaincu le prestataire d'accorder des identifiants Okta, puis a exfiltré des données de fidélité clients dont des numéros de sécurité sociale et des permis de conduire. Caesars a payé environ 15 millions de dollars de rançon ; le FBI a ensuite gelé une part substantielle des fonds avec l'aide de Chainalysis.

En août 2023, Caesars Entertainment — l'un des plus grands opérateurs américains de casinos et d'hôtellerie — a été pénétré par Scattered Spider au moyen d'un appel téléphonique à un prestataire tiers de support informatique. Les attaquants ont exfiltré des données de fidélité clients dont des numéros de sécurité sociale et des permis de conduire, et en quelques semaines, Caesars a payé environ 15 millions de dollars en cryptomonnaie pour empêcher la publication des données. Le cas est aussi un rare contre-exemple : le FBI, à l'aide de l'outillage Chainalysis, a gelé une part substantielle de la rançon sur la blockchain après le paiement de Caesars.

Ce qui s'est passé

Le manuel de Scattered Spider en 2023 était bien rodé : identifier un prestataire tiers de support informatique disposant d'un accès privilégié aux systèmes d'identité de la cible, manipuler le prestataire par ingénierie sociale pour qu'il réinitialise des identifiants ou accorde un accès, et utiliser cet accès pour pénétrer dans l'environnement client. Chez Caesars, les attaquants se sont fait passer pour un employé de Caesars lors d'un appel au prestataire et ont obtenu des identifiants pour la plateforme de gestion des accès Okta de Caesars.

Le 23 août 2023, ils avaient atteint la base de fidélité clients — qui contenait les numéros de sécurité sociale et les informations de permis de conduire de dizaines de millions de clients. Les attaquants ont exfiltré les données et exigé 30 millions de dollars. Caesars a négocié et payé environ 15 millions de dollars en cryptomonnaie pour empêcher la publication.

Caesars a révélé l'incident dans un dépôt SEC le 14 septembre 2023 — ce qui en fait l'un des premiers dépôts publics américains à indiquer explicitement qu'un paiement de rançon avait été effectué. (La même équipe Scattered Spider a frappé MGM Resorts presque exactement au même moment ; MGM a refusé de payer et a absorbé environ 100 M$ de pertes opérationnelles.)

Le FBI, en collaboration avec Chainalysis, a retracé la rançon sur la blockchain et gelé une part substantielle des fonds — un rare contre-exemple médiatisé au récit habituel selon lequel les paiements de rançon en crypto ne sont pas récupérables.

Impact

Données de fidélité clients dont SSN et permis de conduire exfiltrées.
~15 millions de dollars de rançon payés (contre une demande de 30 M$).
Première divulgation très médiatisée d'un paiement de rançon dans un dépôt SEC par un grand casino américain.
Le FBI et Chainalysis ont retracé et gelé une part substantielle de la rançon payée.

Pourquoi cela compte

Caesars est le cas de référence contemporain pour deux choses : l'ingénierie sociale du support informatique tiers comme vecteur d'accès initial dominant pour les cibles de grande valeur, et la récupération via blockchain comme une issue post-paiement réelle (mais incertaine). L'appariement avec MGM Resorts — même équipe, même semaine, décisions opposées — a offert aux conseils d'administration américains la comparaison côte à côte la plus nette possible entre payer et refuser.

Chronologie

18 août 2023

Scattered Spider se fait passer pour un employé de Caesars lors d'un appel à un prestataire tiers de support informatique et persuade ce prestataire de fournir les identifiants de connexion à la plateforme de gestion des accès Okta de Caesars.

23 août 2023

Les attaquants atteignent la base de fidélité clients de Caesars — incluant des numéros de sécurité sociale et des informations de permis de conduire.

2023-09-mid

Scattered Spider exige 30 M$ ; Caesars paie environ 15 M$ en cryptomonnaie pour empêcher la divulgation publique des données.

14 septembre 2023

Caesars révèle l'incident de rançongiciel dans un dépôt SEC — première fois qu'un grand opérateur de casino américain confirme publiquement un paiement de rançon dans une publication réglementaire.

2023-09 — 2023-10

Le FBI, en collaboration avec Chainalysis, retrace le paiement de la rançon à travers plusieurs blockchains et protocoles et gèle une part substantielle des fonds.

Sources

courtwatch.newshttps://www.courtwatch.news/p/how-the-fbi-tracked-down-the-15-million-caesars-casino-ransom

cybernews.comhttps://cybernews.com/news/caesars-15m-ransom-sec-breach-report-6t-stolen-data/

cpomagazine.comhttps://www.cpomagazine.com/cyber-security/caesars-entertainment-discloses-cyber-attack-ransom-payment-made-weeks-before-mgm-heist/

chainalysis.comhttps://www.chainalysis.com/blog/chainalysis-fbi-caesars-ransomware-recovery/

s-rminform.comhttps://www.s-rminform.com/cyber-intelligence-briefing/cyber-intelligence-briefing-15-september-2023

Incidents liés

RançongicielContenu10 septembre 2023

Rançongiciel MGM Resorts (Scattered Spider + ALPHV)

Scattered Spider a vishé un agent du helpdesk IT de MGM, obtenu les droits admin Okta, puis laissé ALPHV déclencher un rançongiciel. Les casinos sont restés hors-ligne dix jours ; pertes pour MGM > 100 M$.

Victim: MGM Resorts International
Loss: $100.0M

RançongicielContenu21 avril 2025

Rançongiciel DragonForce chez Marks & Spencer (Scattered Spider, 2025)

L'ingénierie sociale d'un service d'assistance tiers a permis à Scattered Spider d'obtenir un compte administrateur de domaine, utilisé pour déployer le rançongiciel DragonForce sur le parc VMware ESXi de M&S pendant le week-end de Pâques 2025 — paralysant les paiements sans contact, le Click & Collect et les commandes en ligne pendant plus de six semaines.

Victim: Marks & Spencer
Loss: $550.0M

RançongicielContenu9 novembre 2023

Rançongiciel LockBit contre ICBC Financial Services (2023)

Le rançongiciel LockBit a perturbé la filiale américaine de courtage-négociation d'ICBC, la plus grande banque mondiale, bloquant le règlement de plus de 9 milliards de dollars de transactions sur les bons du Trésor américain. Le personnel de la banque a envoyé les détails de règlement critiques sur clé USB, par messager, à travers Manhattan. 62 milliards de dollars de bons du Trésor n'ont pas pu être livrés en une seule journée.

Victim: ICBC Financial Services (courtier-négociant américain d'Industrial and Commercial Bank of China)
Loss: $9.00B

RançongicielContenu27 octobre 2023

Rançongiciel LockBit contre Boeing via Citrix Bleed (2023)

Les opérateurs de LockBit ont exploité la vulnérabilité Citrix Bleed (CVE-2023-4966) pour pénétrer dans l'activité de pièces détachées et de distribution de Boeing. Boeing n'a pas payé ; LockBit a divulgué environ 45 Go de données, dont des journaux Citrix, des sauvegardes de courriels, des listes de fournisseurs et des données tarifaires de 2020.

Victim: Boeing — Activité Pièces détachées et Distribution