Ciberdelincuentes afiliados al grupo BlackCat (ALPHV) han atacado casinos en Las Vegas, incluyendo MGM y Caesars. MGM reveló la identidad de los atacantes después de un caos de cuatro días en sus sistemas TI, afectando reservas y máquinas tragamonedas.
En un comunicado reciente, el grupo de ransomware BlackCat afirmó haber logrado infiltrarse en la infraestructura de MGM a través de una vulnerabilidad en el servidor de correo electrónico de la compañía. Como resultado de su acceso, cifraron más de 100 hipervisores ESXi, que son los servidores que se utilizan para ejecutar las aplicaciones y los sistemas de MGM Resorts.
Este ataque podría tener un impacto significativo en las operaciones de MGM Resorts, ya que la compañía gestiona 31 complejos turísticos en todo el mundo. Los huéspedes podrían experimentar problemas con sus reservas y los empleados podrían tener dificultades para acceder a los sistemas de la empresa.
Datos relevantes del ataque
Un investigador de ciberseguridad destapó que los individuos asociados a la operación de ransomware ALPHV habrían comprometido MGM mediante tácticas de ingeniería social.
Se ha señalado que el actor de amenazas responsable del ataque contra MGM Resorts está siendo seguido por diversas empresas de ciberseguridad, y se le conoce bajo distintos alias, tales como Scattered Spider (Crowdstrike), 0ktapus (Group-IB), UNC3944 (Mandiant) y Scatter Swine (Okta).
Datos robados
Además, se ha reportado que Scattered Spider también atacó la red de Caesars Entertainment, donde se les solicitó un rescate de 30 millones de dólares para evitar la divulgación de datos de clientes robados. En contraste, MGM Resorts no ha manifestado intención de negociar un rescate y ha desconectado sus servidores en respuesta al ataque.
Los piratas informáticos explican que su objetivo principal era obtener contraseñas que no pudieron recuperar de los archivos hash del controlador de dominio.
A pesar de la clausura de los servidores de sincronización de Okta, BlackCat sostiene que, al menos hasta mediados de septiembre, los hackers mantuvieron presencia en la red. Poseen privilegios de superadministrador en el entorno Okta de MGM y tienen permisos de administrador global en Azure.
Sobre Scattered Spider
Scattered Spider es un grupo de ciberdelincuentes que emplea una amplia gama de tácticas de ingeniería social para infiltrarse en redes corporativas. Sus estrategias incluyen la suplantación de personal de soporte técnico, ataques de intercambio de SIM para tomar el control de números de teléfono, agotamiento de autenticación de dos factores y phishing para adquirir códigos de autenticación.
Lo que distingue a Scattered Spider de la mayoría de los afiliados al ransomware en países de la CEI es que se cree que este grupo está formado por adolescentes y adultos jóvenes de habla inglesa, con edades comprendidas entre los 16 y 22 años.
Además, los investigadores han notado similitudes en las tácticas utilizadas por Scattered Spider y el grupo de hackers Lapsus$, lo que sugiere una posible conexión entre ambos grupos, tanto en la composición de sus miembros como en sus modus operandi.
Prevención y mitigación
El ataque de ransomware a MGM Resorts es un recordatorio de la importancia de la seguridad cibernética para las empresas de todos los tamaños. Las empresas deben implementar medidas de seguridad sólidas para proteger sus sistemas y datos de los ataques cibernéticos.
Dentro de estas medidas se encuentran: mantener los sistemas actualizados con los últimos parches de seguridad, utilizar contraseñas seguras y únicas, habilitar la autenticación de dos factores, entre otras.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Con el fin que tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.
¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
- Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.
Fuentes
https://www.mandiant.com/resources/blog/unc3944-sms-phishing-sim-swapping-ransomware