Mettant hors service les machines à sous et les cartes-clés des chambres d’hôtel
Une bande de cybercriminels spécialisés dans les attaques de ransomwares et d’ingénieries sociales s’en serait prise à l’exploitant américain de casinos MGM Resorts International. Le groupe de pirates, appelé BlackCat, aurait réussi à hameçonner des identifiants de connexion d’employés de MGM à partir d’un simple appel téléphonique, ce qui lui a permis ensuite de pirater l’enseigne en 10 minutes. L’attaque a semé la panique, les machines à sous et les cartes-clés de milliers de chambres d’hôtel ont cessé de fonctionner et les transferts électroniques de gains ont ralenti. Ce chaos a entraîné la fermeture temporaire des établissements (casinos et hôtels) de MGM à travers les États-Unis.
Le groupe de pirates BlackCat, également connu sous l’appellation “ALPHV”, serait un acteur très connu dans le milieu des ransomwares, et qui aurait déjà ciblé une bonne centaine d’organisations. Charles Carmakal, directeur technique chez Mandiant, une filiale de Google spécialisée dans la cybersécurité qui suit BlackCat depuis deux au moins deux ans, a déclaré que la plupart des victimes du groupe sont basées aux États-Unis et au Canada. « Ils sont très actifs, très perturbateurs, ils sèment le chaos et font du bon travail en s’introduisant dans les entreprises et en leur causant beaucoup de tort », a-t-il déclaré à propos de BlackCat dans un communiqué.
Récemment, BlackCat a ciblé et a semé la panique générale dans les établissements de l’exploitant américain de casinos MGM Resorts International. Et à en croire les dires de l’archive de logiciels malveillants vx-underground, tout serait parti d’un appel téléphonique de 10 minutes : « tout ce que le groupe de ransomware ALPHV a fait pour compromettre MGM Resorts a été de sauter sur LinkedIn, de trouver un employé, puis d’appeler le service d’assistance. Une entreprise évaluée à 33 900 000 000 $ a été vaincue par une conversation de 10 minutes ». Bien sûr, ces informations n’ont pas encore été confirmées par des experts indépendants en sécurité.
Les efforts déployés pour contenir l’attaque ont provoqué le chaos. Les machines à sous ont cessé de fonctionner, les transferts électroniques de gains ont ralenti et les cartes-clés de milliers de chambres d’hôtel n’ont plus fonctionné. Ni MGM ni le FBI n’ont décrit publiquement la nature de l’attaque qui a touché la chaîne de casinos et d’hôtels, et MGM n’a pas répondu aux demandes de commentaires. Mais le FBI a déclaré qu’il enquêtait, et le Nevada Gaming Control Board a été informé de l’impact de la brèche. En outre, le gouverneur de l’État, Joe Lombardo, a annoncé dans un communiqué qu’il se coordonnait avec les forces de l’ordre locales et nationales.
L’attaque aurait également retardé l’enregistrement des clients, interrompu les systèmes de stationnement payant et affecté le site Web de MGM, qui affiche toujours un message d’erreur depuis mercredi. De même, le site de réservation de MGM est en panne, invitant les clients à contacter le service clientèle pour toute question. « Nous sommes conscients que certains clients rencontrent des problèmes. Sachez que nos équipes travaillent d’arrache-pied pour que tout fonctionne, et nous vous tiendrons au courant dès que nous serons complètement rétablis », indique un message sur le site Web de MGM. Certains disent ne pas avoir été surpris par l’attaque.
David Kennedy, PDG de TrustedSec, une entreprise de cybersécurité basée dans l’Ohio, a déclaré qu’il n’était pas surpris par le piratage de MGM. « Les casinos ont le vent en poupe en ce moment », a-t-il déclaré, ajoutant qu’il avait répondu à des dizaines de cyberattaques de casinos. D’un autre côté, Brett Callow, analyste des menaces chez Emsisoft, une société de cybersécurité, a déclaré que les casinos sont un candidat évident pour les opérateurs de ransomware. « Ils ont de l’argent et leurs coûts d’indisponibilité sont élevés, ce qui signifie qu’ils sont plus enclins à payer », a-t-il déclaré. Cela dit, ils estiment qu’il n’est pas certain que MGM paie la rançon.
Pour le moment, il est difficile d’estimer l’ampleur des dégâts. Parmi les 19 établissements américains de MGM, on trouve une douzaine d’hôtels-casinos parmi les plus emblématiques de Las Vegas, dont le Bellagio, le Mandalay Bay et le Cosmopolitan. Mercredi, soit plus de 60 heures après l’attaque, les clients qui tentaient d’accéder au site Web de MGM étaient toujours accueillis par une page d’accueil qui s’excuse pour la gêne occasionnée. La responsabilité de BlackCat n’a pas encore été établie, mais selon le site vx-underground, MGM a probablement été victime d’un ransomware, ce qui l’a poussé à laisser hors service presque la totalité de ses activités.
Alex Hamerstone, directeur des solutions de conseil chez TrustedSec, a déclaré qu’il était normal que MGM ferme ses systèmes après la découverte de brèche. « En cas d’incident, il faut y mettre fin le plus rapidement possible et bloquer l’accès. Il n’est pas rare que les entreprises arrêtent elles-mêmes leurs systèmes pour empêcher la propagation », explique-t-il, précisant qu’il spécule sur la nature de la brèche en se basant sur les rapports. Il abonde dans le même sens que les experts du site vx-underground et suggère que la grande visibilité de la perturbation subie par MGM est un indice qui laisse penser qu’il s’agit d’une attaque par ransomware.
On ne sait pas encore exactement ce que les pirates de BlackCat ont en leur possession après l’attaque. Mais Hamerstone explique : « selon les incidents que nous avons observés, ils sont souvent multiples. Si les pirates ont chiffré votre système, ils demanderont une rançon pour vous donner la clé ou vous rendre l’accès. Mais il arrive aussi souvent qu’ils s’emparent de données et menacent de les divulguer si vous ne les payez pas ». Le montant de la rançon n’est pas non plus connu. Cela dit, Hamerstone estime qu’il ne faut pas oublier qu’il s’agit de groupes très sophistiqués et très bien organisés. « Ils font beaucoup de recherches », a déclaré Hamerstone.
Il a ajouté : « nous avons constaté qu’une fois que les attaquants sont entrés dans le système, ils recherchent parfois votre police d’assurance cybernétique pour voir quel est le montant de votre couverture, puis ils vous demandent ce montant ». Selon lui, même après le rétablissement de ses systèmes, MGM pourrait souffrir d’une atteinte à sa réputation à plus long terme : « nous avons constaté que les entreprises sont affectées différemment en matière de réputation. Dans le cas du commerce de détail, le fait est que, bien souvent, si les données des clients ont été violées, ils continueront à faire leurs achats. Ils aiment les prix, les produits ou autres ».
Hamerstone note : « mais imaginez que vous économisiez toute l’année pour aller à Las Vegas et que vous viviez cette expérience. Cela vous laissera un mauvais goût dans la bouche ». Ainsi, selon les experts, il est clair que ce que MGM a appelé un “problème de cybersécurité” sera extrêmement coûteux. Au cours du trimestre qui s’est achevé le 30 juin, MGM a indiqué que ses établissements du Strip de Las Vegas ont généré des recettes de 1,2 milliard de dollars, uniquement grâce aux chambres d’hôtel et aux casinos. Sur la base de ces chiffres, les établissements de la MGM situés sur le Strip de Las Vegas rapportent plus de 13 millions de dollars par jour.
La fermeture temporaire de plusieurs de ses établissements constitue donc un manque à gagner énorme pour MGM. Le FBI a mis en garde les casinos en personne et en ligne contre la menace croissante des cyberattaques qui ont touché plusieurs casinos ces dernières années. MGM a subi une attaque similaire en 2019 qui a exposé les données et les informations d’environ 10,6 millions de clients et, au début du mois, le groupe de pirates nord-coréens Lazarus a volé environ 41 millions de dollars en cryptomonnaies au casino en ligne et au site de paris, Stake.com. Selon les analystes, les incidents de ce type pourraient malheureusement se multiplier.
source : developpez