Discussion :

[Stéphane le calme]

Caesars cède au chantage et paie des millions de dollars aux hackers pour les empêcher de divulguer ses données,
c'est le deuxième grand groupe de casinos de Las Vegas à être piraté en septembre

La grande enseigne de l’hôtellerie et des casinos Caesars Entertainment a confirmé jeudi avoir été victime d’une cyberattaque qui a compromis les données personnelles de ses clients fidèles. Selon des sources proches du dossier, Caesars aurait payé des dizaines de millions de dollars aux pirates pour qu’ils suppriment les données volées et ne les rendent pas publiques. Caesars est la deuxième grande enseigne de l’hôtellerie et du casino à être piraté ces dernières semaines, après que MGM Resorts a signalé lundi dernier un « problème de cybersécurité ».

Caesars a déclaré dans un avis 8-K déposé auprès des régulateurs fédéraux avant l'ouverture des marchés jeudi que des pirates informatiques avaient volé une copie de la base de données du programme de fidélité de l'entreprise, qui comprend les numéros de permis de conduire et les numéros de sécurité sociale d'un « nombre important de membres ».

Un avis 8-K est un document que les sociétés cotées en bourse aux États-Unis doivent déposer auprès de la Securities and Exchange Commission (SEC) lorsqu’elles font face à des événements importants qui affectent leurs activités. Ces événements peuvent inclure, par exemple, des changements de direction, des fusions et acquisitions, des résultats financiers, des faillites, des litiges ou des violations de la sécurité. L’objectif d’un avis 8-K est d’informer les investisseurs et le public de manière rapide et transparente des faits susceptibles d’avoir un impact sur le cours de l’action ou la valeur de l’entreprise. Un avis 8-K doit être déposé dans les quatre jours ouvrables suivant l’événement déclencheur, sauf exceptions. Il doit contenir une description détaillée de l’événement.

Caesars a déclaré que d'autres données avaient été volées lors de la cyberattaque, mais n'a pas précisé quoi. On ne sait pas combien de personnes sont touchées par l’incident.

« Nous avons pris des mesures pour garantir que les données volées soient supprimées par l'acteur non autorisé, même si nous ne pouvons pas garantir ce résultat », a déclaré Caesars dans le dossier déposé auprès de la SEC, ce qui implique que la société avait payé une rançon comme indiqué.

Dans un autre avis de violation de données, Caesars a confirmé que la cyberattaque avait été provoquée par une ingénierie sociale sur un fournisseur informatique externe, que Caesars n'a pas nommé :

Caesars Entertainment (« Caesars ») a récemment identifié une activité suspecte sur son réseau informatique résultant d'une attaque d'ingénierie sociale contre un fournisseur de support informatique externe utilisé par la Société.

Après avoir détecté l'activité suspecte en cause, nous avons rapidement activé nos protocoles de réponse aux incidents et mis en œuvre des mesures pour renforcer la sécurité de notre réseau. Nous avons également lancé une enquête, engagé des sociétés de cybersécurité de premier plan pour nous aider et informé les forces de l'ordre et les régulateurs des jeux de hasard des États.

Le 7 septembre, nous avons déterminé que l'acteur non autorisé avait acquis, entre autres données, une copie de la base de données de notre programme de fidélité, qui comprend les numéros de permis de conduire et/ou les numéros de sécurité sociale d'un nombre important de membres de la base de données. Nous enquêtons toujours pour savoir si des informations personnelles supplémentaires ou autrement sensibles étaient contenues dans les fichiers acquis par l'acteur non autorisé. Nous n'avons aucune preuve à ce jour que les mots de passe/PIN des membres, les informations de compte bancaire ou les informations de carte de paiement (PCI) ont été acquis par l'acteur non autorisé.

Caesars Entertainment aurait payé « des dizaines de millions de dollars »

Caesars Entertainment aurait payé « des dizaines de millions de dollars » aux pirates informatiques qui menaçaient de divulguer les données de l'entreprise, a rapporté Bloomberg. L'attaque aurait été perpétrée par un groupe appelé Scattered Spider (alias UNC 3944), un groupe habile à utiliser l'ingénierie sociale pour contourner la sécurité des réseaux d'entreprise. Il s'agit de la deuxième attaque notable d'un groupe de casinos de Las Vegas, après un piratage ayant provoqué une cyber-panne chez MGM Resorts.

Les membres du groupe de piratage informatique se trouveraient aux États-Unis et au Royaume-Uni et auraient à peine 19 ans. Ils ont commencé à cibler Caesars dès le 27 août et ont obtenu l'accès à un fournisseur extérieur avant d'entrer dans le réseau de l'entreprise, selon le rapport.

Scattered Spider serait en activité depuis mai 2022 et aurait largement attaqué des organisations de télécommunications et d'externalisation d'entreprises, selon Trellix. Le groupe est connu pour se faire passer pour du personnel informatique et utilise l'ingénierie sociale pour persuader les responsables de l'entreprise d'utiliser la surveillance à distance et d'autres outils. À partir de là, ils exploitent les vulnérabilités et utilisent des outils comme « Stonestop » pour échapper aux logiciels de sécurité. Security Week les décrit comme des « acteurs menaçants motivés par des raisons financières ».

Le groupe a également été impliqué dans la cyber-panne de MGM Resorts, bien qu'un autre groupe de ransomware appelé ALPHV/BlackCat s'en soit également attribué le mérite. ALPHV affirme également avoir eu recours à l’ingénierie sociale pour pénétrer le réseau de MGM Resorts, affirmant qu’il n’a fallu qu’une conversation de dix minutes pour y accéder. Certains estiment que Scattered Spider serait affilié à ALPHV. Quoiqu'il en soit, MGM aurait refusé de payer la rançon demandée.

Lorsque les administrateurs du réseau MGM ont constaté qu’ils ne pouvaient pas expulser les parasites, le personnel a fermé diverses parties de leur infrastructure pour tenter de repousser les intrus.

« Après avoir attendu un jour, nous avons lancé avec succès des attaques de ransomware contre plus de 100 hyperviseurs ESXi dans leur environnement le 11 septembre après avoir essayé de les contacter en vain », s'est vanté le gang criminel, ajoutant que MGM Resorts ne semblait pas disposé à négocier avec les extorsionnistes pour mettre fin à l'attaque. Et si un accord n’est pas conclu, AlphaV peut divulguer des données, y compris des informations personnelles, volées à l’entreprise.

« Nous continuons d'avoir accès à certaines infrastructures de MGM. Si un accord n’est pas conclu, nous mènerons des attaques supplémentaires », indique le communiqué.

« Nous continuons d'attendre que MGM nous contacte car ils ont clairement démontré qu'ils savent où nous contacter », a ajouté le gang, faisant référence à son observation de quelqu'un entrant et sortant tranquillement d'un salon de discussion mis en place par AlphaV pour négocier le paiement d'une rançon.

Les opérations de MGM, l’un des plus grands opérateurs de casinos et d’hôtels du monde, étaient toujours perturbées quatre jours après l’annonce du piratage. Des messages d’erreur étaient affichés sur les machines à sous dans ses casinos de Las Vegas, selon des publications sur les réseaux sociaux.

Le FBI recommande de ne pas payer de rançon

Le FBI recommande de ne pas payer de rançon aux pirates informatiques pour plusieurs raisons :

• Payer la rançon encourage les pirates à continuer leurs attaques et à demander des sommes plus élevées.
• Payer la rançon ne garantit pas que les pirates restitueront les données ou qu'ils n'ont pas installé une porte dérobée pour revenir plus tard.
• Payer la rançon finance d'autres activités criminelles, comme le trafic d'armes, de drogues ou d'êtres humains.
• Payer la rançon peut exposer les victimes à des poursuites judiciaires si elles violent des sanctions ou des lois contre le financement du terrorisme.
• Payer la rançon ne résout pas le problème de fond, qui est le manque de sécurité et de prévention des systèmes informatiques.

Le FBI conseille plutôt aux victimes de ransomware de signaler immédiatement l'incident, de coopérer avec les autorités, de conserver les preuves et de restaurer leurs systèmes à partir de sauvegardes fiables. Le FBI dispose également de capacités techniques pour aider les victimes à déchiffrer leurs données sans payer la rançon.

Néanmoins, certaines entreprises choisissent de payer la rançon. C'est le cas de Colonial Pipeline, qui aurait versé près de 5 millions de dollars en bitcoins au groupe de pirates qui l'a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service.

Le PDG de Colonial Pipeline dit avoir autorisé le paiement de la rançon, d'un montant de 4,4 millions de dollars, parce que les dirigeants n'étaient pas sûrs de la gravité de la cyberattaque qui avait porté atteinte à ses systèmes ni du temps qu'il faudrait pour remettre le pipeline en état. Blount a reconnu publiquement qu'il s'agissait d'une option qu'il estimait devoir utiliser, compte tenu des enjeux liés à la fermeture d'une infrastructure énergétique aussi essentielle.

« Je sais que c'est une décision très controversée », a déclaré Blount dans ses premières remarques publiques depuis le piratage informatique. « Je ne l'ai pas prise à la légère. J'admets que je n'étais pas à l'aise de voir de l'argent partir vers des gens comme ça ». Il poursuit en disant que « c'était la bonne chose à faire pour le pays ».

« Cette décision n'a pas été prise à la légère », mais elle devait être prise, a déclaré un porte-parole de la société. « Des dizaines de millions d'Américains comptent sur Colonial – les hôpitaux, les services médicaux d'urgence, les forces de l'ordre, les services d'incendie, les aéroports, les chauffeurs routiers et les voyageurs ».

Sources : avis 8-k, note séparée de Caesars Entertainment sur l'incident

Et vous ?

Que pensez-vous de la décision de Caesars de payer la rançon aux pirates ? Est-ce une bonne stratégie pour protéger les données des clients ou un encouragement à la cybercriminalité ?
Quelles sont les conséquences possibles pour les clients de Caesars dont les données ont été volées ? Des risques d’usurpation d’identité, de fraude ou de chantage ?
Comment les entreprises du secteur du tourisme et des loisirs peuvent-elles se protéger contre les cyberattaques ? Quelles sont les mesures de sécurité et de prévention à mettre en place ?
Quel est le rôle des autorités dans la lutte contre les cyberattaques ? Comment peuvent-elles coopérer avec les entreprises victimes et les poursuivre en justice ?

[Aiekick]

si ils ont payés pour detruire les données, ca veut dire que ca leurs aurait couté cher sic a avait été divulgué. on penses a quoi ? blanchiment ? corruption ?
on sait que les casinos, ont leurs propre regles et leur justice. comme les banques

[vanquish]

si ils ont payés pour detruire les données, ca veut dire que ca leurs aurait couté cher sic a avait été divulgué. on penses a quoi ? blanchiment ? corruption ?
on sait que les casinos, ont leurs propre regles et leur justice. comme les banques

Si rien n'est impossible dans ce domaine, il est quand même question de données personnelles de clients.
Si je suis multimillionnaire, je n'ai pas envie que soit divulgué mon nombre de séjours, les sommes perdues, les services commandé en hôtellerie (car un casino c'est aussi cela) etc.
Si cela arrive, je n'irais plus à ce casino et un procès est loin d'être exclu.
Ces 2 conséquences, multipliées par des dizaines, voir centaines, de clients ultra fortunés, le casino a effectivement beaucoup à perdre.

[droggo]

Bonjour,

Les hackers ont trouvé ce qu'ils doivent faire pour gagner gros ...

[Prox_13]

Bonjour,

Les hackers ont trouvé ce qu'ils doivent faire pour gagner gros ...

Imagine ce que ces brigands sont capables de cacher pour accepter une telle rançon plutôt que de tenir tête... Normalement avec un business aussi historique que le Caesars' Palace, ils auraient pu encaisser le coup.

Moi je suis sceptique quant aux intentions du casino honnêtement. Je sais pas si mes soupçons ont lieu d'être mais la situation me parait trop étrange pour être si simple.

[Bruno]

MGM, un groupe hôtelier et de casinos, perd jusqu'à 8,4 M$ par jour alors qu'une cyberattaque paralyse les machines à sous et les hôtels,
pour la huitième journée consécutive

MGM Resorts, une chaîne d’hôtels et de casinos, subit une cyberattaque depuis huit jours qui affecte ses machines à sous, ses systèmes informatiques et ses opérations. Selon un analyste, la société perd jusqu’à 8,4 millions de dollars par jour en revenus. Les pirates, qui se font appeler ALPHV, ont utilisé un rançongiciel pour bloquer les systèmes de MGM et demandent une rançon pour les libérer. MGM refuse de payer, contrairement à Caesars Entertainment, un autre exploitant de casinos victime de la même attaque. Les clients et les employés de MGM font face à de nombreux désagréments, tels que des cartes d’accès aux chambres inopérantes, des kiosques de commande de nourriture hors service, des paiements en espèces uniquement et des retards dans les salaires.

David Katz, analyste de l'industrie du jeu chez Jefferies Group, a publié une note estimant que MGM pourrait subir une baisse de 10 à 20 % de ses revenus et de son flux de trésorerie. Selon Katz, la société génère quotidiennement quelque 42 millions de dollars de recettes et 8 millions de dollars de flux de trésorerie. La société, qui exploite plus de 30 hôtels et salles de jeux dans le monde, notamment à Macao et à Las Vegas, a déclaré qu'elle enquêtait sur l'incident.

pic.twitter.com/nxIweGInsB

— MGM Resorts (@MGMResortsIntl) September 11, 2023

Les clients de MGM ont posté des vidéos sur les médias sociaux montrant des machines à sous cassées, des ascenseurs en panne, de longues files d'attente au comptoir d'enregistrement et des paiements en espèces uniquement pour certaines opérations de casino. Les gains des machines à sous sur les machines en fonctionnement ont dû être payés manuellement par les employés parce que certains systèmes d'entrée et de sortie des billets ne fonctionnaient pas. Certains ont dit qu'ils avaient attendu longtemps avant que les employés ne leur paient leurs gains aux machines à sous.

Les responsables de MGM ont déclaré qu'il n'y avait aucune mise à jour de l'état des systèmes informatiques de la société et qu'aucune nouvelle information n'avait été publiée sur la page « Foire aux questions » de la société. Les chauffeurs Uber et Lyft auraient déclaré que les problèmes de MGM étaient un sujet constant de frustration pour leurs clients.

Les représentants de Groceryshop 2023, une convention de trois jours sur la technologie et les marques de supermarchés, qui devrait attirer 5 000 personnes n’ont pas indiqué s'ils s'attendaient à ce que l'affluence soit affectée par les problèmes de cybersécurité rencontrés par MGM ou pas. Des marques comme Kroger, Walmart, Albertson's, Costco, Amazon, Kellogg, General Mills, Doordash, Kraft-Heinz, Coca-Cola et Pepsico devraient être représentées au salon.

MGM et Caesars comptent sur l’assurance pour limiter les dégâts

Dans ses rapports, Katz a indiqué aux investisseurs que les dommages causés par la cyberattaque de MGM seraient couverts par l'assurance, mais le montant de la couverture n'est pas clair.

« L'annonce de CZR (Caesars Entertainment, qui a fait état d'une cyberattaque similaire dans une déclaration à la SEC) et les indications de MGM confirmant les cyberattaques devraient être considérées comme des événements ponctuels, largement assurables, qui ne devraient pas avoir d'impact durable sur les entreprises, en supposant que l'événement soit de courte durée », a écrit Katz. « Notre sentiment est que l'impact de MGM pourrait potentiellement être important mais modéré à court terme, tandis que CZR ne devrait pas voir d'impact significatif. »

Katz a déclaré qu'il existait des rapports non confirmés selon lesquels Caesars aurait payé une rançon d'environ 15 millions de dollars à des cybercriminels pour reprendre le contrôle de ses systèmes informatiques à la fin du mois d'août. Mais on ne sait pas si MGM a envisagé de payer une rançon.

Il s'agit de « l'un des acteurs de menace les plus répandus et les plus agressifs ayant un impact sur les organisations aux États-Unis aujourd'hui », a déclaré Charles Carmakal, directeur de la technologie chez Mandiant Intelligence, dans un message sur LinkedIn.

Scattered Spider, également connu sous le nom de UNC3944, a déjà frappé des entreprises de télécommunications et d'externalisation des processus d'affaires par le passé, mais plus récemment, il a également ciblé des organisations d'infrastructures critiques, selon des rapports d'analystes. « Ils utilisent un savoir-faire contre lequel il est difficile pour de nombreuses organisations dotées de programmes de sécurité bien établis de se défendre », a déclaré Charles Carmakal.

Le FBI a déclaré qu'il enquêtait sur l'incident, mais n'a pas donné plus de détails. L'agence de notation Moody's a pour sa part averti que la violation pourrait avoir un impact négatif sur la cote de crédit de MGM. Ce type d'attaque est typique des incidents liés aux rançongiciels, dans lesquels les cybercriminels chiffrent les systèmes informatiques des victimes et exigent des rançons en monnaie numérique. Selon les analystes, les casinos sont des cibles de choix pour les cybercrimes à motivation financière.

« Ils sont plus susceptibles d'être payés parce qu'ils perturbent les opérations du casino », a déclaré Allan Liska, analyste de renseignements à la société de sécurité Recorded Future. Les casinos du monde entier devraient être en état d'alerte, car les groupes de rançongiciels adorent attirer l'attention, et il est donc probable qu'il y ait des imitateurs.

Les analystes de Moody's ont déclaré dans un rapport que l'incident « met en évidence les risques clés liés à la forte dépendance des opérations commerciales à l'égard de la technologie et les perturbations opérationnelles causées lorsque les systèmes doivent être mis hors ligne ou sont inopérants ».

Source : David Katz, games industry analyst at Jefferies Group

Et vous ?

Quels peuvent être les risques pour la sécurité des données personnelles des clients des casinos victimes de cyberattaques ?

Existe-t-il des opportunités que cette perte de revenus peut représenter pour la société et ses concurrents ?

Quelles sont les stratégies et les actions que la société devrait mettre en œuvre pour réduire cette perte de revenus ?

Pensez-vous que la technologie, qui est essentielle aux opérations commerciales, facilite le travail des cybercriminels ?

Voir aussi :

Caesars cède au chantage et paie des millions de dollars aux hackers pour les empêcher de divulguer ses données, c'est le deuxième grand groupe de casinos de Las Vegas à être piraté en septembre

Un simple appel téléphonique au service d'assistance serait à l'origine du piratage de l'exploitant de casinos MGM, mettant hors service les machines à sous et les cartes-clés des chambres d'hôtel

Un nouveau rapport lève le voile sur le marché de l'exploitation des vulnérabilités au cours du premier semestre 2023, l'exploit Adobe Commerce serait l'un des plus rentables, selon Flashpoint

[Jade Emy]

MGM Resorts est de nouveau en ligne après une énorme cyberattaque, l'attaque pourrait avoir coûté 80 millions de dollars à l'exploitant du casino de Vegas.

MGM Resorts a mis fin à une fermeture informatique de 10 jours, provoquée par des efforts visant à protéger d'une cyberattaque des données comprenant les réservations d'hôtel et le traitement des cartes de crédit, a déclaré mercredi le géant des casinos, tandis que des analystes et des universitaires mesuraient les effets de l'événement.

"Nous sommes heureux que tous nos hôtels et casinos fonctionnent normalement", a indiqué la société basée à Las Vegas sur X, la plateforme anciennement connue sous le nom de Twitter. Elle a indiqué la semaine dernière que l'attaque avait été détectée le 10 septembre.

Le propriétaire de casinos concurrents, Caesars Entertainment, a également révélé la semaine dernière aux autorités de régulation fédérales qu'il avait été victime d'une cyberattaque le 7 septembre. Il a déclaré que ses opérations de casino et en ligne n'avaient pas été perturbées, mais qu'il ne pouvait pas garantir que les informations personnelles de dizaines de millions de clients, notamment les permis de conduire et les numéros de sécurité sociale des membres des programmes de fidélisation, n'avaient pas été compromises. Caesars, dont le siège est à Reno, aurait payé 15 millions de dollars sur les 30 millions de dollars de rançon demandés par un groupe appelé Scattered Spider, en échange d'une promesse de sécurisation des données.

Les détails concernant l'étendue de la faille de MGM n'ont pas été immédiatement divulgués, y compris le type d'informations qui ont pu être compromises et le coût pour l'entreprise.

Gregory Moody, professeur et directeur du programme de cybersécurité à l'université du Nevada, à Las Vegas, a cité des estimations selon lesquelles l'arrêt des ordinateurs a coûté à la société jusqu'à 8 millions de dollars par jour, ce qui pourrait porter l'effet cumulé à 80 millions de dollars. Mais le professeur Moody a également fait remarquer que MGM Resorts déclare des revenus annuels supérieurs à 14 milliards de dollars, ce qui signifierait qu'elle réalise en moyenne au moins 270 millions de dollars de revenus par semaine.

La société a indiqué mercredi que les systèmes gérant les services de villégiature, la restauration, les divertissements, les piscines et les spas étaient opérationnels et que son site web et son application prenaient les réservations de restauration et de spa pendant que la société travaillait à rétablir les fonctions de réservation d'hôtel et de récompenses de fidélité.

"Les propriétés de MGM Resorts à Las Vegas et dans tout le pays ont repris leurs activités normales", a déclaré le porte-parole Brian Ahern à l'Associated Press. MGM possède également des établissements dans le Maryland, le Massachusetts, le Michigan, le Mississippi, le New Jersey, New York et l'Ohio.

Sandra Breault, porte-parole du FBI à Las Vegas, s'est refusée à tout commentaire et a renvoyé à une déclaration antérieure de l'agence indiquant qu'une enquête était en cours. Selon les experts, les attaques ont mis en évidence les faiblesses critiques de la cybersécurité chez MGM et Caesars et ont brisé l'image d'invulnérabilité des casinos.

"À ce stade, tous les casinos devraient adopter la posture défensive la plus élevée possible et prendre des mesures actives pour vérifier l'intégrité de leurs systèmes et de leur environnement, et revoir - voire activer - leurs processus de réponse aux incidents", a déclaré Christopher Budd, directeur de la recherche sur les menaces à la société de cybersécurité Sophos X-Ops. "Plusieurs casinos ont été attaqués et il est possible que d'autres le soient."

Caesars Entertainment est le plus grand propriétaire de casinos au monde, avec plus de 65 millions de membres récompensés et des établissements dans 18 États et au Canada sous les marques Caesars, Harrah's, Horseshoe et Eldorado. Il propose également des activités mobiles et en ligne, ainsi que des paris sportifs. MGM Resorts est le plus grand employeur privé du Nevada. Il exploite des dizaines de milliers de chambres d'hôtel à Las Vegas dans son établissement phare MGM Grand et dans des établissements tels que Bellagio, Aria, New York-New York et Mandalay Bay. Il exploite également des complexes hôteliers en Chine et à Macao. Il emploie 75 000 personnes aux États-Unis et à l'étranger.

L'action Caesars s'est échangée mercredi à 50,17 dollars, soit une hausse de 36 cents pour la journée. Les actions de MGM étaient à 38,77 dollars, en baisse de 43 cents. Les deux sociétés devraient divulguer les effets des attaques dans les rapports trimestriels qu'elles présenteront le mois prochain à la Securities and Exchange Commission (Commission des valeurs mobilières et des changes).

L'attaque contre MGM a également été attribuée à Scattered Spider, un groupe d'anglophones parfois connu sous le nom d'Øktapus et opérant dans le cadre d'une opération basée en Russie appelée ALPHV ou BlackCat.

"Mais il y a beaucoup de rapports contradictoires", a déclaré David Richardson, cadre à la société de cybersécurité Lookout. "Scattered Spider affirme avoir fait les deux dans divers forums, et ALPHV dit que Scattered Spider n'était pas impliqué dans l'autre. Mais de nombreuses preuves techniques montrent qu'il existe une relation entre les deux".

Lisa Plaggemier, directrice exécutive de l'organisation à but non lucratif National Cybersecurity Alliance, a qualifié de positive la décision de la MGM de fermer les systèmes vulnérables pour empêcher toute intrusion, mais elle a ajouté qu'elle mettait en évidence des lacunes "importantes" en matière de sécurité et un besoin urgent d'investissements substantiels dans la formation des employés et la cybersécurité. Le risque, a-t-elle ajouté, est celui de "temps d'arrêt et de pertes financières". "La décision de Caesars Entertainment de payer la rançon a mis en évidence un manque de confiance et d'investissement dans ses cyberdéfenses", a déclaré Lisa Plaggemier.

Le professeur Moody, de l'UNLV, a déclaré par courrier électronique que ces attaques montraient que, même pour les entreprises bien préparées ou techniquement avancées, "la question n'est pas de savoir si l'on est attaqué, mais quand on l'est". "N'importe quelle cible peut être attaquée, car la défense ne peut pas être gagnante à 100 %", a-t-il ajouté. "Ce n'est pas que MGM ait mal agi ou ait été négligente. Si une menace persistante avancée, définie par ses compétences, ses ressources et son temps accrus, vous prend pour cible, elle trouvera un moyen d'accéder à ce qu'elle ne devrait pas."

Source : MGM

Et vous ?

Quel est votre avis sur cette affaire ?

Voir aussi :

Caesars cède au chantage et paie des millions de dollars aux hackers pour les empêcher de divulguer ses données, c'est le deuxième grand groupe de casinos de Las Vegas à être piraté en septembre

Un simple appel téléphonique au service d'assistance serait à l'origine du piratage de l'exploitant de casinos MGM, mettant hors service les machines à sous et les cartes-clés des chambres d'hôtel

MGM, un groupe hôtelier et de casinos, perd jusqu'à 8,4 M$ par jour alors qu'une cyberattaque paralyse les machines à sous et les hôtels, pour la huitième journée consécutive

[Mathis Lucas]

Les pirates de la génération Z qui ont attaqué MGM et Caesars seraient motivés par "le pouvoir, l'influence et la notoriété" en plus de l'argent
ils seraient "très doués" pour l'ingénierie sociale

Les experts ayant analysé les récentes cyberattaques qui ont visé les groupes américains de casinos et d'hôtels MGM Resorts et Caesars pensent que les attaquants ne cherchaient pas simplement à exfiltrer des données qui leur serviront ensuite à extorquer de l'argent aux victimes. Ces pirates, qui appartiennent à la génération Z, seraient également à la recherche du pouvoir, d'influence et de notoriété. Selon les experts, ces pirates sont plus jeunes et plus au fait de la technologie, et se distinguent par leur capacité à exploiter les technologies modernes et les tactiques inhabituelles d'ingénierie sociale, ce qui leur permet de déjouer les défenses numériques les plus sûres.

Une nouvelle génération de pirates informatiques "très jeunes" serait actuellement à l'œuvre dans le monde. Ces pirates appartenant à la génération Z cibleraient tous les secteurs sans exception, des télécommunications à la finance, en passant par l'hôtellerie et les médias. Ils agiraient de manière inhabituelle pour les cybercriminels et seraient "extraordinairement doués" pour l'ingénierie sociale et le contournement de l'authentification multifactorielle. Connus dans le secteur de la sécurité sous les noms de Scattered Spider, Muddled Libra et UNC3944, ces pirates ont été propulsés sous les feux de la rampe au début du mois après avoir ciblé MGM et Caesars.

Le mois de septembre 2023 a tourné à la catastrophe pour les groupes américains de casinos et d'hôtels MGM Resorts et Caesars après qu'ils ont été frappés par des cyberattaques dévastatrices. Dans le cas de MGM Resorts, l'attaque a semé la panique, les machines à sous et les cartes-clés de milliers de chambres d'hôtel ont cessé de fonctionner et les transferts électroniques de gains ont ralenti. Ce chaos a entraîné la fermeture temporaire des établissements (casinos et hôtels) de MGM à travers les États-Unis. En outre, une évaluation préliminaire des dégâts indique que MGM a perdu jusqu'à 8,4 millions de dollars par jour pendant cette brève fermeture.

Does Scattered Spider seem to be everywhere? The scope of their intrusions since March 2022 from a @CrowdStrike perspective is pretty broad. They use social engineering, living off the land, and RMM tools before deploying ransomware or conducting extortion. pic.twitter.com/fP3Z1Mj0mW

— adam_cyber (@Adam_Cyber) September 15, 2023

De son côté, Caesars a déclaré dans un avis 8-K déposé auprès des régulateurs fédéraux que des pirates avaient volé une copie de la base de données du programme de fidélité de l'entreprise, qui comprend les numéros de permis de conduire et les numéros de sécurité sociale d'un nombre important de membres. Caesars a déclaré que d'autres données avaient été volées lors de la cyberattaque, mais n'a pas précisé quoi. On ne sait pas combien de personnes ont été touchées par l’incident. Cela dit, la rumeur indique que Caesars a payé des dizaines de millions de dollars aux pirates pour qu’ils suppriment les données volées et ne les rendent pas publiques.

Selon les experts en cybersécurité, ces pirates ont attaqué une multitude d'entreprises dans le monde au cours des deux dernières années. Il s'agirait surtout de jeunes de 17 à 22 ans, majoritairement originaires de pays occidentaux, ayant l'anglais comme langue maternelle et ils seraient très aguerris en matière de manipulation. Avant une attaque, ils acquièrent des informations sur les employés de la cible, dont des mots de passe, par ingénierie sociale. Ils peuvent appeler le service d'assistance informatique de l'entreprise en se faisant passer pour un employé et cherchent à obtenir des informations de connexion en prétendant avoir perdu les leurs.

Ils disposent de toutes les informations nécessaires sur les employés pour paraître convaincants. Une fois l'accès obtenu, ils se frayent rapidement un chemin dans les répertoires les plus sensibles de l'entreprise pour exfiltrer des données à des fins d'extorsion. Selon les analystes, ces acteurs de la menace feraient également l'effort d'étudier le fonctionnement des grandes organisations, y compris leurs fournisseurs et leurs sous-traitants, pour trouver des personnes disposant d'un accès privilégié qu'ils peuvent cibler. D'après Palo Alto Networks, ces efforts confèrent aux pirates une capacité "exceptionnelle" à contourner l'authentification multifactorielle.

Par exemple, David Bradbury, responsable de la sécurité de la société de gestion des identités et des accès (IAM) Okta, a constaté le mois dernier que plusieurs clients d'Okta, dont MGM, avaient été victimes d'une intrusion de Scattered Spider. Okta fournit des services de gestion de l’identité tels que l'authentification multifactorielle utilisée pour aider les utilisateurs à accéder en toute sécurité aux applications en ligne. « Les acteurs de la menace ont clairement suivi les cours que nous proposons en ligne, ils ont clairement étudié notre produit et son fonctionnement. Ce sont des choses que nous n'avons jamais vues auparavant », a déclaré Bradbury.

Si le gain financier reste l'une des principales motivations des cybercriminels, les experts affirment que ces pirates d'un autre genre semblent être animés par un désir supplémentaire de reconnaissance et d'influence au sein de la communauté des pirates clandestins. Ainsi, leurs attaques audacieuses contre des cibles de premier plan telles que MGM et Caesars leur permettent non seulement de s'enrichir, mais aussi d'asseoir leur réputation de pirates redoutables. « Ils sont excellents dans ce qu'ils font et impitoyables dans leurs interactions avec les victimes », a déclaré Kevin Mandia, fondateur de la société de cybersécurité Mandiant, une filiale de Google.

Wendi Whitmore, vice-présidente principale de l'équipe de renseignement sur les menaces de l'unité 42 de Palo Alto Networks, a comparé Scattered Spider à "Lapsus$", un autre groupe à l'origine de piratages antérieurs d'Okta et du géant de la technologie Microsoft. L'année dernière, la police britannique a arrêté sept personnes âgées de 16 à 21 ans à la suite de ces deux piratages. Du Canada au Japon, la société de cybersécurité CrowdStrike a recensé 52 attaques menées par le groupe depuis mars 2022. Selon Adam Meyers, premier vice-président chargé de la veille sur les menaces au sein de CrowdStrike, la plupart des attaques ont eu lieu aux États-Unis.

Mandiant a enregistré plus de 100 intrusions de la part de ce groupe au cours des deux dernières années. Selon les experts, la vitesse à laquelle ils pénètrent dans les systèmes des cibles et volent les données peut submerger les équipes d'intervention en matière de sécurité. Dans certains cas, les pirates auraient laissé des notes menaçantes à l'intention du personnel des organisations victimes sur leurs systèmes, et les ont contactées par texto et par courriel. « Je ne pense même pas que ces intrusions soient liées à l'argent. Je pense qu'il s'agit de pouvoir, d'influence et de notoriété. Il est donc plus difficile d'y répondre », a déclaré Mandia.

En somme, pour les experts, la montée en puissance des hackers de la génération Z est le signe d'un changement inquiétant dans le monde de la cybercriminalité. Leur combinaison de prouesses technologiques, de finesse en matière d'ingénierie sociale et de quête incessante de notoriété les distingue de leurs prédécesseurs. Alors que les organisations continuent de renforcer leurs défenses en matière de cybersécurité, il est essentiel de reconnaître que la lutte contre les cybercriminels ne repose pas uniquement sur la technologie, mais aussi sur la compréhension de la psychologie et des tactiques employées par ces menaces émergentes.

Ce faisant, les entreprises et les experts en sécurité peuvent mieux se préparer aux défis en constante évolution posés par les pirates de la génération Z et protéger leurs actifs numériques contre les forces implacables du cybermonde.

Source : Mandiant

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous du profil de ces pirates de la génération Z ?
En quoi représentent-ils une menace plus sérieuse que les autres pirates ?
Que pensez-vous des techniques d'attaque utilisées par ces nouveaux pirates ?
Comment les organisations peuvent-elles se protéger contre cette nouvelle forme de menace ?

Voir aussi

Caesars cède au chantage et paie des millions de dollars aux hackers pour les empêcher de divulguer ses données, c'est le deuxième grand groupe de casinos de Las Vegas à être piraté en septembre

Un simple appel téléphonique au service d'assistance serait à l'origine du piratage de l'exploitant de casinos MGM, mettant hors service les machines à sous et les cartes-clés des chambres d'hôtel

MGM Resorts est de nouveau en ligne après une énorme cyberattaque, l'attaque pourrait avoir coûté 80 millions de dollars à l'exploitant du casino de Vegas

[totozor]

C'est vraiment un changement radical des pratiques d'un groupe qui veut s'installer dans un domaine précis?
J'ai l'impression que n'importe quel groupe qui veut prendre vite de l'importance va se focalisera sur des activité marquante et médiatiquement interressante.
Bref on dénonce leurs ambitions mais ils ne me semblent pas si différents de générations précédentes.

[Bruno]

Deux casinos, deux réponses aux rançongiciels chez Caesars et MGM : l'un a payé, l'autre non
payer ou ne pas payer, telle est la question

Caesars Entertainment et MGM Resorts semblent ont été ciblées par des groupes de cybercriminels connus. ALPHV, également connu sous le nom de Black Cat, a revendiqué l'attaque contre MGM, tandis qu'un groupe affilié, qui se fait appeler Scattered Spider, a attaqué Caesars. Caesars a admis l'intrusion, affirmant avoir pris des mesures pour supprimer les données volées, probablement en payant la rançon négociée à 15 millions de dollars. D'un autre côté, MGM a refusé de payer, subissant une semaine de perturbations et de pertes financières d'environ 100 millions de dollars, avec des données volées divulguées.

Les analystes suggèrent que payer la rançon peut sembler être la voie la moins douloureuse, mais les décisions dépendent de nombreux facteurs, tels que le type de données compromises, les sauvegardes disponibles, l'impact financier, et la pression éthique et légale. En outre, les sanctions gouvernementales contre les criminels peuvent influencer ces choix, soulignant la nécessité d'efforts internationaux pour perturber l'écosystème des rançongiciels.

Il est notable que l'attaque contre Caesars a précédé de quelques semaines celle dirigée contre MGM Resorts, laquelle a entraîné des perturbations massives dans les opérations de MGM. Cette situation a provoqué des retards importants lors des enregistrements des clients, paralysant les systèmes de paiement électronique, les cartes-clés numériques, les machines à sous, les guichets automatiques et les services de stationnement payant, tout en maintenant le site web et l'application mobile de la société hors ligne pendant près de quatre jours.

Les leçons de caesars entertainment et mgm resorts face a une augmentation mondiale des cyberattaques

Les deux entreprises rejoignent ainsi les statistiques d'une tendance mondiale, les cyberattaques ayant connu une augmentation de 156 % au deuxième trimestre de l'année 2023 par rapport aux trois premiers mois, selon un rapport du Forum économique mondial. Les grandes entreprises, en particulier, sont des cibles particulièrement lucratives, avec MGM Resorts et Caesars Entertainment ayant généré respectivement des revenus de 13 et 11 milliards de dollars l'année dernière.

Caesars Entertainment est le plus grand propriétaire de casinos au monde, avec plus de 65 millions de membres récompensés et des établissements dans 18 États et au Canada sous les marques Caesars, Harrah's, Horseshoe et Eldorado. Il propose également des activités mobiles et en ligne, ainsi que des paris sportifs.

MGM Resorts est le plus grand employeur privé du Nevada. Il exploite des dizaines de milliers de chambres d'hôtel à Las Vegas dans son établissement phare MGM Grand et dans des établissements tels que Bellagio, Aria, New York-New York et Mandalay Bay. Il exploite également des complexes hôteliers en Chine et à Macao. Il emploie 75 000 personnes aux États-Unis et à l'étranger. MGM possède des établissements dans le Maryland, le Massachusetts, le Michigan, le Mississippi, le New Jersey, New York et l'Ohio.

Le 7 septembre, Caesars Entertainment, propriétaire de plus de 50 centres de villégiature et casinos à Las Vegas et dans 18 autres États américains, a informé la SEC de l'intrusion par le biais d'un formulaire 8-K. Dans son rapport à l'organisme de surveillance financière, Caesars a attribué l'incident à une « attaque d'ingénierie sociale sur un prestataire de services informatiques externalisé », confirmant ultérieurement qu'il s'agissait d'Okta. Les cybercriminels ont réussi à voler la base de données du programme de fidélisation des clients, contenant une importante quantité d'informations personnelles »

Un avis 8-K est un document que les sociétés cotées en bourse aux États-Unis doivent déposer auprès de la Securities and Exchange Commission (SEC) lorsqu’elles font face à des événements importants qui affectent leurs activités. Ces événements peuvent inclure, par exemple, des changements de direction, des fusions et acquisitions, des résultats financiers, des faillites, des litiges ou des violations de la sécurité. L’objectif d’un avis 8-K est d’informer les investisseurs et le public de manière rapide et transparente des faits susceptibles d’avoir un impact sur le cours de l’action ou la valeur de l’entreprise. Un avis 8-K doit être déposé dans les quatre jours ouvrables suivant l’événement déclencheur, sauf exceptions. Il doit contenir une description détaillée de l’événement.

La faiblesse humaine dans la cybersecurite

Les deux gangs de rançongiciels privilégient l'utilisation de l'ingénierie sociale pour infiltrer les systèmes informatiques des entreprises, une stratégie dans laquelle ils excellent, selon des experts en cybersécurité. ALPHV a vanté sa capacité à infiltrer le système de MGM en seulement 10 minutes, identifiant un employé technique de MGM sur LinkedIn et appelant le service d'assistance de la société. Scattered Spider a réussi à pénétrer le système de Caesars en trompant un employé d'un fournisseur tiers.

ALPHV, un acteur de la menace très actif, est présumé être à l'origine de nombreuses violations de données majeures au cours des dernières années. À travers une nouvelle manœuvre, le groupe de rançongiciels ALPHV a déposé une plainte auprès de la Securities and Exchange Commission des États-Unis à l'encontre de la société de logiciels MeridianLink. Cette plainte reproche à MeridianLink de ne pas avoir signalé au régulateur une prétendue violation de données causée par les membres du groupe. Cette tactique, rare voire inédite, vise à exercer une pression sur la victime afin de la pousser à payer une rançon.

La Securities and Exchange Commission a approuvé de nouvelles règles obligeant les entreprises cotées en bourse à divulguer toute violation de cybersécurité susceptible d'avoir un impact sur leurs résultats financiers dans un délai de quatre jours. Des dérogations à ce délai seront possibles en cas de risques graves pour la sécurité nationale ou publique nécessitant une divulgation différée. Ces règles récemment adoptées par un vote de 3 contre 2 imposent également aux sociétés cotées de fournir chaque année des informations détaillées sur leur gestion des risques liés à la cybersécurité, ainsi que sur l'expertise de leurs dirigeants dans ce domaine. L'objectif principal de ces mesures est d'assurer une protection accrue des investisseurs.

Alex Waintraub, expert en gestion de crise cybernétique chez CYGNVS, souligne qu'en dépit des dépenses substantielles des entreprises pour mettre en place des mesures de sécurité, les cybercriminels exploitent fréquemment des méthodes simples, comme l'ingénierie sociale. « C'est incroyable, » déclare-t-il, mettant en avant le fait que certaines entreprises investissent parfois des centaines de millions de dollars dans des dispositifs préventifs, de détection, de protection, et dans la réponse aux alertes des points d'extrémité. Et pourtant, ironiquement, les acteurs malveillants parviennent à s'introduire en utilisant des stratégies des plus simples et peu sophistiquées, telles que le clic sur un lien et la saisie d'informations d'identification.

Le succès continu de l'ingénierie sociale en tant que tactique démontre que les humains sont souvent le maillon faible de la chaîne, déclare Alex Hamerstone, directeur des solutions de conseil chez TrustedSec, une société de cybersécurité basée dans l'Ohio. « Si vous concevez une infrastructure informatique résiliente, le fait d'appeler une personne et d'obtenir un mot de passe, un lien ou quoi que ce soit d'autre ne devrait pas entraîner l'effondrement de toute votre entreprise. »

Contrairement à MGM, Caesars a affirmé que ses opérations en contact avec la clientèle n'ont pas été perturbées, mais a confirmé que la base de données du programme de fidélisation Caesars Rewards avait été compromis, incluant des numéros de permis de conduire et/ou de sécurité sociale. Bien que le montant exact de la rançon versée par Caesars ne soit pas révélé, le document déposé auprès de la SEC mentionne des dépenses liées à l'attaque. Les criminels déterminent souvent le montant de la rançon après avoir analysé les documents financiers de l'entreprise. Alex Waintraub souligne également des cas où les criminels ont supprimé la police d'assurance d'une entreprise de son système informatique pour éviter que la victime ne connaisse les termes de sa propre police.

Caesars a finalement choisi de payer la rançon pour s'assurer que les données volées soient supprimées par les cybercriminels. Alex Waintraub estime que Scattered Spider est susceptible de respecter sa promesse, soulignant l'importance de la réputation pour ces groupes. Le FBI recommande de ne pas payer de rançon aux pirates informatiques pour plusieurs raisons :

• payer la rançon encourage les pirates à continuer leurs attaques et à demander des sommes plus élevées ;
• payer la rançon ne garantit pas que les pirates restitueront les données ou qu'ils n'ont pas installé une porte dérobée pour revenir plus tard ;
• payer la rançon finance d'autres activités criminelles, comme le trafic d'armes, de drogues ou d'êtres humains ;
• payer la rançon peut exposer les victimes à des poursuites judiciaires si elles violent des sanctions ou des lois contre le financement du terrorisme ;
• payer la rançon ne résout pas le problème de fond, qui est le manque de sécurité et de prévention des systèmes informatiques.

Le FBI conseille plutôt aux victimes de ransomware de signaler immédiatement l'incident, de coopérer avec les autorités, de conserver les preuves et de restaurer leurs systèmes à partir de sauvegardes fiables. Le FBI dispose également de capacités techniques pour aider les victimes à déchiffrer leurs données sans payer la rançon.

« L'idée est que si vous continuez à leur donner de l'argent, ils continueront à agir de la sorte », explique Waintraub. Il arrive qu'une entreprise détermine que les données volées n'étaient pas aussi sensibles que le pensait l’acteur de la menace. Idéalement, il est possible de rétablir l'entreprise sans avoir à faciliter un paiement, mais parfois il n'y a pas d'autre moyen de rétablir l'entreprise.

La décision de payer ou de résister, les coulisses des décisions

Si Caesars a choisi de payer la rançon, MGM a décidé de ne pas payer, suivant les conseils du FBI. « Nous sommes heureux que tous nos hôtels et casinos fonctionnent normalement », a indiqué la société basée à Las Vegas sur X, la plateforme anciennement connue sous le nom de Twitter. Gregory Moody, professeur et directeur du programme de cybersécurité à l'université du Nevada, à Las Vegas, a cité des estimations selon lesquelles l'arrêt des ordinateurs a coûté à la société jusqu'à 8 millions de dollars par jour, ce qui pourrait porter l'effet cumulé à 80 millions de dollars. Mais le professeur Moody a également fait remarquer que MGM Resorts déclare des revenus annuels supérieurs à 14 milliards de dollars, ce qui signifierait qu'elle réalise en moyenne au moins 270 millions de dollars de revenus par semaine.

La société a indiqué que les systèmes gérant les services de villégiature, la restauration, les divertissements, les piscines et les spas étaient opérationnels et que son site web et son application prenaient les réservations de restauration et de spa pendant que la société travaillait à rétablir les fonctions de réservation d'hôtel et de récompenses de fidélité. « Les propriétés de MGM Resorts à Las Vegas et dans tout le pays ont repris leurs activités normales », a déclaré le porte-parole Brian Ahern à l'Associated Press.

Selon les experts, les cybercriminels ont mis en évidence les faiblesses critiques de la cybersécurité chez MGM et Caesars et ont brisé l'image d'invulnérabilité des casinos. « À ce stade, tous les casinos devraient adopter la posture défensive la plus élevée possible et prendre des mesures actives pour vérifier l'intégrité de leurs systèmes et de leur environnement, et revoir - voire activer - leurs processus de réponse aux incidents », a déclaré Christopher Budd, directeur de la recherche sur les menaces à la société de cybersécurité Sophos X-Ops. « Plusieurs casinos ont été attaqués et il est possible que d'autres le soient. »

« Payer une rançon, c'est comparable à découper du fromage dans un ascenseur bondé, causant des souffrances aux autres », a souligné Brett Callow, analyste des menaces chez Emsisoft. Il explique ainsi que les entreprises qui cèdent aux demandes de rançon contribuent à perpétuer le problème des rançongiciels et à exposer d'autres entreprises à des attaques similaires. Il affirme que si personne ne payait, le problème des rançongiciels pourrait être éradiqué.

Cependant, en analysant les résultats des incidents survenus dans les deux casinos, il semble que le choix le plus évident et le moins douloureux soit de verser la rançon. Néanmoins, même en mettant de côté les dilemmes éthiques liés au financement d'organisations criminelles, la situation n'est pas aussi simple qu'il y paraît. Brett Callow souligne que les incidents survenus à la MGM et chez Caesars ne sont pas directement comparables, car la portée, les systèmes touchés, les procédures de sauvegarde, et d'autres facteurs peuvent différer. Il met en garde contre l'erreur de supposer que le rétablissement apparemment plus facile de Caesars est attribuable uniquement au paiement de la rançon.

Sources : Statements made to the media by MGM CEO Bill Hornbuckle, SEC, Caesars

Et vous ?

Êtes-vous pour ou contre le paiement des rançons aux cybercriminels ?

« Les entreprises qui cèdent aux demandes de rançon contribuent à perpétuer le problème des rançongiciels et à exposer d'autres entreprises à des attaques similaires », partagez vous cette idée ?

Que pensez-vous du choix de Caesars de payer la rançon pour s'assurer que les données volées soient supprimées par les cybercriminels ?

Voir aussi :

Caesars cède au chantage et paie des millions de dollars aux hackers pour les empêcher de divulguer ses données, c'est le deuxième grand groupe de casinos de Las Vegas à être piraté en septembre

MGM, un groupe hôtelier et de casinos, perd jusqu'à 8,4 M$ par jour alors qu'une cyberattaque paralyse les machines à sous et les hôtels, pour la huitième journée consécutive

Les pirates de la génération Z qui ont attaqué MGM et Caesars seraient motivés par "le pouvoir, l'influence et la notoriété" en plus de l'argent, ils seraient "très doués" pour l'ingénierie sociale