Rançongiciel MGM Resorts (Scattered Spider + ALPHV)
Scattered Spider a vishé un agent du helpdesk IT de MGM, obtenu les droits admin Okta, puis laissé ALPHV déclencher un rançongiciel. Les casinos sont restés hors-ligne dix jours ; pertes pour MGM > 100 M$.
- Victime
- MGM Resorts International
- Perte
- $100.0M
- utilisateurs
- 6.0M
Du 8 au 10 septembre 2023, le collectif d’ingénierie sociale Scattered Spider (UNC3944) a mis le SI de MGM Resorts quasiment à l’arrêt — non par du malware, mais par un appel de dix minutes au helpdesk IT.
Ce qui s’est passé
Les opérateurs de Scattered Spider ont identifié un employé IT de MGM sur LinkedIn, appelé le helpdesk en se faisant passer pour cet employé, et convaincu un agent de réinitialiser sa MFA. À partir de ce point d’appui, ils ont escaladé jusqu’aux droits administrateur Okta, fédéré l’annuaire vers une infrastructure contrôlée par les attaquants et collecté des identifiants sur l’ensemble de l’environnement MGM.
Quand MGM a détecté l’activité le 10 septembre et a commencé à couper l’accès, Scattered Spider a passé le relais à des affiliés ALPHV/BlackCat, qui ont déclenché un rançongiciel sur plus de 100 hyperviseurs ESXi. MGM a refusé de payer ; le casino s’est éteint.
Conséquences
- Environ dix jours de perturbation sur les propriétés MGM de Las Vegas : machines à sous, clés de chambres, distributeurs et systèmes de réservation hors-ligne ; check-in à la main pour les clients.
- Environ 100 millions de dollars de manque à gagner selon le 8-K déposé à la SEC.
- Environ 6 millions de clients ont vu leur nom, contact, date de naissance et parfois numéro de permis exposés.
- Le même groupe a été lié à une attaque parallèle sur Caesars Entertainment, qui a payé une rançon d’environ 15 millions de dollars.
Pourquoi c’est important
MGM est désormais le cas d’école pour l’ingénierie sociale du helpdesk comme vecteur d’attaque de premier rang. La MFA n’aide à rien si le helpdesk la réinitialise pour quiconque appelle ; les fournisseurs d’identité comme Okta sont des infrastructures « joyaux de la couronne » qui méritent la rigueur administrative qu’on accorderait à un contrôleur de domaine ; et la banalisation de l’accès initial via vishing a abaissé la barre technique des intrusions catastrophiques.
Impact financier
Coûts déclarés en USD
- Perte d’exploitation$90.0M
- Remédiation$10.0M
Chronologie
Les opérateurs de Scattered Spider identifient un employé IT de MGM sur LinkedIn et appellent le helpdesk IT en se faisant passer pour lui.
Le helpdesk réinitialise la MFA de l’employé ciblé, ouvrant l’accès. Les attaquants escaladent jusqu’aux droits admin Okta.
MGM détecte une activité anormale sur Okta et arrête de larges portions de son SI. Casinos, machines à sous, clés de chambres et sites web tombent.
ALPHV/BlackCat déclenche un rançongiciel sur plus de 100 hyperviseurs ESXi après le refus de MGM de négocier.
La plupart des systèmes côté client sont rétablis après dix jours de perturbation.
Le 8-K de MGM chiffre l’impact à environ 100 millions de dollars de manque à gagner et de réponse à incident.
Sources
- sec.govhttps://www.sec.gov/cgi-bin/browse-edgar?action=getcompany&CIK=0000789570&type=8-K
- mandiant.comhttps://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware
- reuters.comhttps://www.reuters.com/technology/cybersecurity/mgm-resorts-says-cyberattack-cost-100-million-2023-10-05/