MGM Resorts e Caesars Entertainment hanno confermato di aver subito un attacco informatico, senza tuttavia specificare gli autori. Secondo varie fonti si tratta del gruppo Scattered Spider. Il Financial Times ha contattato uno dei membri, ottenendo alcuni dettagli sulle tecniche utilizzate per colpire MGM Resorts.
Tentativo di hack delle slot machine
I cybercriminali hanno tentato un colpo alla Ocean’s Eleven. L’attacco contro i sistemi di MGM Resorts ha messo fuori uso i computer usati per le prenotazioni, il sito web, le chiavi digitali delle camere e gli ATM presenti all’interno degli hotel/casinò di Las Vegas. Il gruppo Scattered Spider ha chiesto un riscatto (non pagato) dopo aver installato un ransomware, ma il piano originario era un altro.
Un rappresentante dei cybercriminali, contattato su Telegram dal Financial Times, ha dichiarato che l’obiettivo iniziale era quello di accedere alle slot machine, modificare il software e ottenere vincite facili. Diverse persone, pagate dal gruppo, dovevano quindi giocare alle slot machine e incassare le vincite. Il tentativo è fallito perché i cybercriminali non conoscevano il software utilizzato.
È stato quindi installato un ransomware per impedire l’accesso ai file. MGM Resorts non ha pagato nulla, in quanto i sistemi sono stati ripristinati in poco tempo dai backup (Caesars Entertainment ha invece pagato circa 15 milioni di dollari, secondo il Wall Street Journal).
Il gruppo BlackCat (ALPHV) ha comunicato che il gruppo Scattered Spider è un loro affiliato. Dopo aver ottenuto l’accesso ai sistemi tramite ingegneria sociale (un dipendente ha fornito la password) sono stati cifrati oltre 100 hypervisor ESXi. I cybercriminali hanno minacciato di pubblicare i dati online e di effettuare altri attacchi, sfruttando l’accesso ancora a disposizione.