Piratage de MGM Resorts : comment les attaquants ont décroché le jackpot grâce à l’ingénierie sociale au service d’assistance
Table of Contents
Le géant de l’hôtellerie et du divertissement MGM Resorts a été ébranlé en septembre 2023 après une grave cyberattaque qui a commencé par un appel frauduleux à leur service d’assistance. Dans les jours qui ont suivi l’attaque, ils ont eu du mal à remettre les systèmes en ligne après des pannes généralisées dans leurs célèbres propriétés de Las Vegas, notamment le MGM Grand, le Bellagio, l’Aria et le Cosmopolitan. L’attaque a provoqué des pannes de leurs réseaux internes, des distributeurs automatiques, des machines à sous, des cartes-clés numériques et des systèmes de paiement électronique. Même les services de télévision et les lignes téléphoniques ont été coupés, et le personnel doit se fier au papier et au crayon pour gérer de longues files d’attente d’invités.
MGM Resorts a déclaré avoir subi un impact de 100 millions de dollars sur ses résultats du troisième trimestre 2023 en raison de la cyberattaque. L’entreprise fait également face à des poursuites fédérales et s’est engagée à investir jusqu’à 40 millions de dollars pour améliorer ses mesures de cybersécurité. Le PDG et président de MGM, William Hornbuckle, a déclaré que l’assurance devrait couvrir les pertes subies, mais a ajouté qu’ils avaient constaté une « augmentation stupéfiante » des coûts de l’assurance cyber. Il est intéressant de noter qu’il a été révélé qu’une autre entreprise de casino, Caesars Entertainment, a plutôt choisi de payer une rançon de 15 millions de dollars pour maintenir ses activités à flot après avoir également été frappée par Scattered Spider en 2023.
Résumé de l’attaque
- Qui était ciblé : MGM Resorts
- Type d’attaque : Rançongiciel, Exfiltration de données
- Technique d’entrée : Ingénierie sociale (hameçonnage vocal du service d’assistance), Escalade de privilèges
- Impact : Panne système, Perturbation opérationnelle, Violation de données, Poursuites fédérales, Perte de profits
- Qui était responsable : Scattered Spider/UNC3944 (présumé sous-groupe du groupe de rançongiciels ALPHV) a revendiqué la responsabilité le 12/09/23
Comment l’attaque s’est-elle déroulée ?
Scattered Spider (également connu sous le nom d’UNC3944) a revendiqué la responsabilité de l’attaque et a déclaré qu’ils étaient dans les systèmes de MGM Resorts depuis le 8/09/23. Ils sont présumés être un sous-groupe du plus grand groupe de rançongiciels ALPHV. Les pirates ont dit à vx-underground qu’ils ont utilisé l’ingénierie sociale comme point d’entrée initial. Ils ont pu trouver un employé de MGM Resorts sur LinkedIn, l’usurper et appeler le service d’assistance de l’organisation pour demander l’accès à leur compte. Cela suggère qu’ils n’avaient pas de système pour imposer la vérification de l’utilisateur final au service d’assistance. Après l’entrée initiale, ils ont obtenu des droits d’administrateur et ont procédé au déploiement d’une attaque par rançongiciel.
Dans une déclaration intitulée « Rétablir la vérité » publiée le 14/09/23, le groupe de pirates a donné une explication détaillée de la façon dont l’attaque s’est déroulée : « MGM a pris la décision hâtive d’arrêter chacun de leurs serveurs Okta Sync après avoir appris que nous avions été en train de rôder sur leurs serveurs Okta Agent en reniflant les mots de passe de personnes dont les mots de passe ne pouvaient pas être craqués à partir de leurs dumps de hachage du contrôleur de domaine. Résultant en leur Okta étant complètement verrouillé. Pendant ce temps, nous continuions à avoir des privilèges de super administrateur sur leur Okta, ainsi que des privilèges d’administrateur global sur leur tenant Azure.
« Dimanche soir, MGM a mis en place des restrictions conditionnelles qui interdisaient tout accès à leur environnement Okta (MGMResorts.okta.com) en raison de capacités administratives inadéquates et de playbooks de réponse aux incidents faibles. Leur réseau a été infiltré depuis vendredi. En raison du manque de compréhension des ingénieurs réseau sur le fonctionnement du réseau, l’accès au réseau était problématique samedi. Ils ont ensuite pris la décision de « mettre hors ligne » des composants apparemment importants de leur infrastructure dimanche.
« Après avoir attendu une journée, nous avons lancé avec succès des attaques par rançongiciel contre plus de 100 hyperviseurs ESXi dans leur environnement le 11 septembre après avoir essayé de les contacter mais échoué. C’était après qu’ils aient fait appel à des entreprises externes pour les aider à contenir l’incident. »
Analyse Specops : que pouvons-nous apprendre du piratage de MGM Resorts ?
Premièrement, il est important de noter que ce n’est pas un cas isolé. MGM Resorts n’est même pas le premier groupe de casinos à être ciblé dans les deux derniers mois. Nous avons vu d’autres violations graves récentes où les services d’assistance ont été ciblés par l’ingénierie sociale – il y a eu un incident étrangement similaire en 2021 avec la violation d’EA Games.
D’après les informations disponibles, la clé pour prévenir cet incident était d’éviter l’accès initial. Cette attaque aurait pu être évitée avec de meilleurs protocoles d’authentification qui auraient permis au service d’assistance de vérifier que « l’employé verrouillé » n’était pas celui qu’il prétendait être. Selon les sources, l’attaquant a pu faire du vishing (hameçonnage par appel vocal) sur un agent du service d’assistance sans être forcé de s’authentifier via un autre facteur.
Il est également intéressant de noter que les pirates prétendent que ce n’était pas initialement prévu comme une attaque par rançongiciel et que c’est devenu le cas en raison d’une « vengeance pour une négociation de mauvaise foi ». Cela montre le risque d’une attaque prolongée et escaladante d’un acteur de menace. Dans ce cas, il est possible que les attaquants auraient pu être détectés pendant leurs phases de reconnaissance initiales avant qu’ils « passent au nucléaire » avec l’attaque par rançongiciel. Détecter les kits d’outils de rançongiciels courants n’est pas suffisant – les organisations ont besoin d’une vue d’ensemble de leur environnement entier grâce à une combinaison d’outils, tels que PTaaS, EDR et SIEM.
Prévenir l’accès initial en imposant la vérification de l’identité de l’utilisateur final
Avec Specops Secure Service Desk, vous pouvez imposer de manière sécurisée la vérification de l’appelant au lieu de vous fier à des processus non sécurisés ou « sur papier » qui sont sujets à l’erreur humaine. Les clients de Secure Service Desk peuvent utiliser des méthodes d’authentification qui suppriment l’opportunité d’usurpation d’utilisateur, en exigeant une vérification avec quelque chose que l’utilisateur a, pas seulement quelque chose que l’utilisateur ou un attaquant peut connaître.
Secure Service Desk augmente la sécurité avec des options de vérification d’identité qui vont des codes de vérification mobile ou par e-mail, aux fournisseurs commerciaux tels que Duo Security, Okta et PingID. Tous les services d’identité pris en charge vont au-delà de la méthode basée sur la connaissance « quelque chose que vous savez » en exigeant « quelque chose que vous avez » comme la possession d’un appareil.
Si vous voulez supprimer le risque d’ingénierie sociale au service d’assistance en imposant la vérification de l’utilisateur avant de permettre qu’une réinitialisation de mot de passe ou un déverrouillage de compte soit terminé, contactez-nous pour voir comment Secure Service Desk pourrait fonctionner dans votre environnement.