Une filiale du groupe de ransomwares BlackCat, également connu sous le nom d’APLHV, est à l’origine de l’attaque qui a perturbé les opérations de MGM Resorts, obligeant l’entreprise à fermer ses systèmes informatiques.
Dans un communiqué publié aujourd’hui, le groupe de ransomware BlackCat affirme avoir infiltré l’infrastructure de MGM depuis vendredi et chiffré plus de 100 hyperviseurs ESXi après que l’entreprise ait supprimé l’infrastructure interne.
Le gang affirme avoir exfiltré des données du réseau et maintenu l’accès à certaines infrastructures de MGM, menaçant de déployer de nouvelles attaques à moins qu’un accord de paiement d’une rançon ne soit trouvé.
Ransomware déployé, données MGM volées
Le chercheur en cybersécurité vx-underground a été le premier à annoncer que des acteurs malveillants affiliés à l’opération de ransomware ALPHV auraient violé MGM via une attaque d’ingénierie sociale.
Bien que Breachtrace n’ait pas pu confirmer si cela était vrai, l’administrateur de BlackCat/ALPHV a confirmé hier à Breachtrace que l’une de leurs « publicités » (affiliée) avait mené l’attaque de MGM, affirmant que ce n’était pas le même acteur qui avait piraté Western Digital en 2017. Mars.
Citant des sources proches du dossier, des rapports en ligne [1, 2] ont déclaré plus tard que l’acteur menaçant qui a violé MGM Resorts est suivi par des sociétés de cybersécurité sous le nom de Scattered Spider (Crowdstrike).
D’autres sociétés utilisent des noms différents pour suivre le même acteur menaçant : 0ktapus (Group-IB), UNC3944 (Mandiant) et Scatter Swine (Okta).
Selon les journalistes de Bloomberg, Scattered Spider a également violé le réseau de Caesars Entertainment, qui, jeudi, devant la Securities and Exchange Commission des États-Unis, a donné une forte indication de payer l’attaquant pour éviter une fuite des données des clients volées lors de l’attaque. La demande de rançon s’élèverait à 30 millions de dollars.
Dans sa déclaration d’aujourd’hui, BlackCat affirme que MGM Resorts est resté silencieux sur le canal de communication fourni, indiquant que la société n’a pas l’intention de négocier le paiement d’une rançon.
Les pirates soulignent que la seule action qu’ils ont vue de la part de MGM était en réponse à la violation, déconnectant « chacun de leurs serveurs Okta Sync après avoir appris que nous nous cachions sur leurs serveurs Okta Agent ».
L’attaquant affirme qu’il essayait de détecter les mots de passe qu’il n’avait pas pu récupérer à partir des sauvegardes de hachage du contrôleur de domaine.
Malgré l’arrêt des serveurs de synchronisation Okta, les pirates sont restés présents sur le réseau, indique BlackCat dans son communiqué.
Ils ont affirmé disposer toujours des privilèges de super-administrateur sur l’environnement Okta de MGM et des autorisations d’administrateur global sur le locataire Azure de l’entreprise.
Après avoir vu MGM prendre cette mesure et sans l’intention de la société d’engager des négociations sur le chat fourni, l’acteur menaçant affirme avoir déployé l’attaque du ransomware.
« Après avoir attendu une journée, nous avons lancé avec succès des attaques de ransomware contre plus de 100 hyperviseurs ESXi dans leur environnement le 11 septembre après avoir tenté de nous contacter mais sans succès. C’était après avoir fait appel à des sociétés externes pour les aider à contenir l’incident », – BlackCat/ALPHV.
Pour le moment, les pirates affirment qu’ils ne savent pas quel type de données ils ont volé à MGM, mais promettent d’extraire les informations pertinentes et de les partager en ligne à moins qu’ils ne parviennent à un accord avec MGM.
Pour faire pression encore plus sur l’entreprise afin qu’elle paie, BlackCat a menacé d’utiliser son accès actuel à l’infrastructure de MGM pour « mener des attaques supplémentaires ».
Breachtrace n’a pas été en mesure de confirmer de manière indépendante les affirmations de BlackCat et MGM n’a pas répondu à nos e-mails.
Qui est l’araignée dispersée
Scattered Spider est considéré comme un groupe d’acteurs menaçants connus pour utiliser un large éventail d’attaques d’ingénierie sociale pour pirater les réseaux d’entreprise.
Ces attaques incluent l’usurpation d’identité du personnel du service d’assistance pour inciter les utilisateurs à fournir des informations d’identification, des attaques par échange de carte SIM pour prendre le contrôle du numéro de téléphone d’un appareil mobile ciblé, ainsi que des attaques de fatigue MFA et de phishing pour accéder aux codes d’authentification multifacteur.
Contrairement à la plupart des affiliés de ransomware originaires des pays de la CEI, les chercheurs estiment que le groupe de piratage est composé d’adolescents et de jeunes adultes anglophones âgés de 16 à 22 ans.
De plus, en raison de tactiques similaires, les chercheurs pensent que le groupe chevauche le groupe de piratage Lapsus$, qui avait une composition de membres et des tactiques similaires.