Remarque : cet article a été initialement publié sur SmarterMSP.
Cette alerte de menace pour la cybersécurité met en évidence les cyberattaques sur MGM Resorts, une société hôtelière et de divertissement d'une valeur de 33 milliards de dollars qui opère à Las Vegas. Le lundi 11 septembre 2023, MGM Resorts a subi une attaque par ransomware qui a chiffré plus de 100 hyperviseurs ESXi et a fait fuiter un volume inconnu de données. Le groupe revendiquant la responsabilité de l'attaque est un groupe avancé de menaces persistantes (APT) nommé « Scattered Spider », affilié au ransomware ALPHV/Blackcat en tant que service. MGM était l'une des nombreuses entités ciblées de Las Vegas Strip, Caesars ayant payé une rançon estimée à 30 millions de dollars plus tôt dans le mois.
Nature de la menace
Le vendredi 8 septembre, Scattered Spider aurait pu accéder au réseau MGM grâce au social engineering. Au cours d'un appel de 10 minutes, le pirate a pu établir un accès initial à l'environnement de MGM. Cela fait, le pirate a fait élever ses privilèges pour obtenir des privilèges d'administrateur dans OKTA et même des privilèges d'administrateur global à l'instance Azure de MGM, en collectant et en vidant les mots de passe.
En réponse à la violation, l’entreprise a tenté (sans succès) de fermer l’accès réseau aux appareils sensibles. Après que l'entreprise a choisi de ne pas payer la rançon, le dimanche 10 septembre, Scattered Spider a déployé un ransomware BlackCat et chiffré plus de 100 hyperviseurs ESXi, ce qui a entraîné des perturbations et dégâts supplémentaires. Scattered Spider affirme avoir piraté MGM pour punir un délit d'initié présumé.
Pourquoi est-ce important ?
Cet évènement souligne l'importance de la formation de sensibilisation à la cybersécurité pour tous les employés. Il a suffi d’une petite erreur d’un seul utilisateur pour que l'entreprise subisse d’importants dommages, tant dans le domaine pécuniaire que dans celui de sa réputation. Pour éviter que des évènements similaires ne se produisent, les entreprises devraient mettre en place l'authentification multifacteur (MFA) et, surtout, une authentification rigoureuse et une surveillance des autorisations. En outre, MGM n'a pas reconnu la portée de la compromission subie lors de la mise en place de la réponse aux incidents. Cela a abouti à une éradication incomplète de la menace. Pour améliorer la réponse aux incidents, les entreprises devraient élaborer un plan complet de réponse aux incidents, tenir à jour la documentation relative à l'infrastructure et effectuer des exercices de simulation de haut niveau.
Quelles sont les recommandations ?
Barracuda MSP recommande les actions suivantes pour améliorer votre posture de sécurité générale et votre préparation :
- Utilisez la surveillance proactive pour toutes les surfaces d'attaque courantes, en particulier les services internes et cloud pour détecter les signes de compromission
- Mettez en place l'authentification multifacteur pour tous les utilisateurs, privilégiés ou non
- Organisez une formation de sensibilisation à la sécurité, en particulier pour les employés qui sont censés recevoir des appels, comme le personnel du service d'assistance
RÉFÉRENCES
Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :
- https://www.reddit.com/r/cybersecurity/comments/16iubsc/alphv_blackcat_just_released_an_annoucement_about/
- https://www.bleepingcomputer.com/news/security/mgm-casinos-esxi-servers-allegedly-encrypted-in-ransomware-attack/
- https://www.darkreading.com/attacks-breaches/-scattered-spider-mgm-cyberattack-casinos
Pour toute question, contactez notre centre d'opérations de sécurité.
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.
