Il semble que l’opération du ransomware ALPHV/BlackCat soit à l’origine du La cyberattaque en cours contre la société américaine d’hôtellerie et de divertissement MGM Resortsperturbant les opérations des casinos de Las Vegas, notamment Bellagio, Excalibur, Luxor, Mandalay Bay, MGM Grand et New York-New York.
Il a été détecté pour la première fois par le Malware Research Group VX-UndergroundLe gang a affirmé avoir mené avec succès une attaque d’ingénierie sociale contre un employé de MGM Resorts trouvé sur LinkedIn, puis contacté le service d’assistance informatique de l’organisation pour accéder aux systèmes de la victime.
« Une entreprise de 33 900 000 000 $ a été vaincue par une conversation de 10 minutes » VX-Underground noté dans le message Vers le compte X (anciennement Twitter).
Alors que les troubles provoqués par la cyberattaque entrent dans leur cinquième jour, MGM Resorts n’a pas encore confirmé ou infirmé les allégations, et n’a publié aucune autre déclaration que celle de reconnaître avoir identifié un « problème » de cybersécurité. Il a déclaré que ses sites fonctionnaient normalement, même si son site Web public restait inaccessible.
Selon d’autres médias, les clients des hôtels du groupe ont signalé des problèmes allant de la nécessité de s’enregistrer avec un stylo et du papier, des clés de chambre qui ne fonctionnent pas – ce que MGM Resorts a nié, et des pannes de téléphone, de télévision et de Wi-Fi dans la chambre. Machines à sous indisponibles et problèmes d’utilisation des cartes de crédit et de fidélité.
Charles Carmakal, directeur de la technologie chez Mandiant Consulting de Google Cloud, a déclaré que le gang BlackCat – qui Il est suivi dans la classification Mandiant sous le nom UNC3944. – Il reste l’un des acteurs menaçants les plus répandus et les plus agressifs actuellement en activité.
«Ils ont récemment attiré beaucoup d’attention en raison de leur nouveauté Cibler les établissements d’accueil et de divertissement“, a-t-il déclaré. ” Bien que les membres du groupe soient peut-être moins expérimentés et plus jeunes que de nombreux groupes d’extorsion/ransomware aux multiples facettes et des acteurs de l’espionnage d’État, ils constituent une menace sérieuse pour les grandes organisations.
« De nombreux membres sont de langue maternelle anglaise et sont des ingénieurs sociaux incroyablement efficaces », a déclaré Carmakal. “Ils sont incroyablement ennuyeux et agressifs. Ils provoquent des pannes informatiques de plusieurs manières qui n’incluent pas nécessairement la propagation de crypto-ransomwares. “
“Cependant, au cours des derniers mois, nous les avons vu déployer le logiciel de cryptage Black Cat dans un sous-ensemble des environnements des victimes qu’ils ont compromis. Ils exploitent l’infrastructure pour calomnier ALPHV auprès d’un petit nombre de victimes qu’ils extorquent. Ils exploitent l’infrastructure pour calomnier ALPHV auprès d’un petit nombre de victimes qu’ils extorquent. exploitent des compétences commerciales qui mettent au défi de nombreuses organisations qui disposent de programmes de sécurité matures contre lesquels se défendre.
Considéré comme l’un des “top” Menaces de rançongiciels activesBlackCat a fait de nombreuses victimes ces derniers mois, dont LNH de Barts À Londres, et Le géant des cosmétiques Estée Lauder.
Focus sur la récupération de données
Steve Stone, président de Rubrik Zero Labs, a déclaré à Computer Weekly que MGM Resorts se concentrerait fortement sur la récupération de données afin de restaurer les capacités opérationnelles critiques.
« Ces mouvements de récupération seront soit guidés par la visibilité, la priorisation et la compréhension de l’accès actuel de l’attaquant, soit ils seront effectués comme des événements « aveugles » », a-t-il déclaré. « Les organisations qui effectuent une récupération aveugle auront du mal à perdre beaucoup de temps. données, car elles peuvent récupérer après une période plus longue que nécessaire, ou restaurer les attaquants si le point de récupération se situe après que les attaquants ont obtenu l’accès.
“يتم توجيه عملية الاسترداد الناجحة وفي الوقت المناسب من خلال اتخاذ قرارات ذكية بشأن تسلسل عملية الاسترداد – لا يمكن استرداد كل شيء مرة واحدة – مما يضمن فقدان المهاجمين إمكانية الوصول من خلال الاستعادة مما قبل الاقتحام، وحدوث الحد الأدنى من فقدان البيانات عن طريق الاسترداد في le plus tôt possible”. Pénétrez autant que possible. Les organisations qui réussissent le mieux dans les situations de récupération peuvent bénéficier d’une visibilité sur leurs données dans des magasins immuables et immuables ainsi que d’une sensibilisation aux intrusions.
Stone note qu’historiquement, les organisations qui ont déjà développé et testé un plan de reprise se remettent invariablement sur pied plus rapidement, la reprise devenant simplement une question de mise en œuvre plutôt qu’un ensemble de processus – et celles qui ne le font pas seront paralysées pendant beaucoup plus longtemps parce que Les équipes technologiques doivent également effectuer des découvertes et cartographier les flux de travail en cas de crise, avec une visibilité considérablement réduite.
Il a ajouté que même si les attaques de double extorsion – chiffrement plus piratage et extorsion – sont devenues courantes depuis 2020, la plupart des organisations ne sont toujours pas préparées à la deuxième étape.
« Cela est particulièrement difficile lorsque l’environnement est activement chiffré et/ou compromis », a-t-il déclaré. « La capacité d’évaluer si des données ont été volées, ce qu’elles contiennent et comment répondre à une menace potentielle d’extorsion de données s’avère essentielle dans les violations de ransomwares modernes. »