Flexible Security for Your Peace of Mind

Piratage de MGM Resorts : Comment les attaquants ont touché le jackpot grâce à l’ingénierie sociale contre le helpesk

Le géant de l’hôtellerie et du divertissement MGM Resorts a été ébranlé par une grave cyberattaque débutée par un appel frauduleux auprès de son helpdesk. Depuis la semaine dernière, une lutte est engagée pour rétablir les systèmes en ligne après des pannes généralisées dans les célèbres établissements de Las Vegas, notamment le MGM Grand, le Bellagio, l’Aria et le Cosmopolitan.

L’attaque aurait entraîné des pannes des réseaux internes, des distributeurs automatiques de billets, des machines à sous, des cartes-clés numériques des chambres et des systèmes de paiement électronique. Même les services de télévision et les lignes téléphoniques ont été coupés, et le personnel doit s’en remettre au papier et au crayon pour gérer les longues files d’attente.

Résumé de l’attaque

  • Qui était visé : MGM Resorts
  • Type d’attaque : Ransomware, exfiltration de données
  • Technique d’entrée : Ingénierie sociale (vishing du helpdesk), escalade des privilèges 
  • Conséquences : Panne de système, perturbation opérationnelle, compromission de données (peut-être plus, l’attaque est toujours en cours)
  • Responsabilité : Scattered Spider/UNC3939 Scattered Spider/UNC3944 (supposément une sous-entité du groupe ransomware ALPHV) a revendiqué la responsabilité de l’attaque le 12 septembre 2023.

Comment l’attaque s’est-elle déroulée ?

Scattered Spider (également connu sous le nom de UNC3944) a revendiqué l’attaque et a déclaré être présent dans les systèmes de MGM Resorts depuis le 8 septembre 2023. Il s’agirait d’une sous-entité du groupe de ransomware ALPHV. Les pirates ont déclaré à vx-underground qu’ils avaient utilisé l’ingénierie sociale comme point d’entrée initial. Ils ont réussi à trouver un employé de MGM Resorts sur LinkedIn, à se faire passer pour lui et à appeler le helpdesk de l’organisation pour lui demander d’accéder à son compte. Cela laisse supposer qu’il n’y avait pas de système permettant de vérifier l’identité des utilisateurs finaux au niveau du helpdesk. Avec ce premier accès, ils ont obtenu des droits d’administrateur et ont procédé au déploiement d’une attaque par ransomware.

Dans une déclaration intitulée « Setting the record straight » (rétablir la vérité) publiée le 14 septembre 2023, le groupe de pirates a expliqué en détail le déroulé de l’attaque : « MGM a pris la décision hâtive de fermer chacun de ses serveurs Okta Sync après avoir appris que nous nous étions cachés sur leurs serveurs Okta Agent afin d’y dénicher les mots de passe des personnes dont les mots de passe ne pouvaient pas être déchiffrés à partir des données de hachage de leurs contrôleurs de domaine. Résultat : leur Okta a été complètement bloqué. Pendant ce temps, nous avons continué à jouir des privilèges de super administrateur sur leur Okta, ainsi que des privilèges d’administrateur global sur leur locataire Azure.

Le dimanche soir, MGM a mis en œuvre des restrictions conditionnelles qui ont interdit tout accès à leur environnement Okta (MGMResorts.okta.com) en raison de capacités administratives inadéquates et de manuels de réponse aux incidents faibles. Leur réseau était infiltré depuis vendredi. En raison du manque de compréhension du fonctionnement du réseau de la part de leurs ingénieurs, l’accès au réseau représentait un problème majeur depuis le samedi. Ils ont alors pris la décision de “mettre hors ligne” des composants apparemment importants de leur infrastructure le dimanche.

Après avoir attendu un jour, nous avons lancé avec succès des attaques par ransomware contre plus de 100 hyperviseurs ESXi dans leur environnement le 11 septembre, après avoir essayé en vain de les contacter. Ils ont ensuite fait appel à des entreprises externes pour les aider à contenir l’incident.

On ne sait pas encore quelles données ont été exfiltrées ni quel pourrait être l’impact de cette attaque, bien qu’ALPHV soit connu pour avoir, par le passé, posté des fichiers dérobés sur le dark web . Il ne semble pas non plus que Scattered Spider du genre à abandonner la bataille.

« Nous continuons à avoir accès à une partie de l’infrastructure de MGM. Si aucun accord n’est conclu, nous mènerons d’autres attaques. Nous continuons d’attendre que MGM se décide à nous tendre la main, car elle a clairement démontré qu’elle savait où nous contacter. »

Analyse de Specops : Que pouvons-nous apprendre du piratage de MGM Resorts ?

Tout d’abord, il est important de noter qu’il ne s’agit pas d’un cas isolé. MGM Resorts n’est même pas le premier groupe de casinos à avoir été pris pour cible au cours des deux derniers mois. Nous avons récemment constaté d’autres violations graves dans lesquelles les helpdesks ont été pris pour cible par le biais de l’ingénierie sociale – on pense à l’incident étrangement similaire qui avait frappé EA Games en 2021.

D’après les informations disponibles, la clé pour prévenir cet incident aurait été d’empêcher l’accès initial aux pirates. Cette attaque aurait pu être évitée grâce à de meilleurs protocoles d’authentification qui auraient permis au helpdesk de vérifier que l’employé « bloqué » n’était pas celui qu’il prétendait être. Selon les sources, l’attaquant a pu hameçonner (phishing via un appel vocal) un agent du helpdesk sans qu’il lui soit demandé de s’authentifier via un autre facteur.

Il est également intéressant de noter que les pirates affirment qu’il ne s’agissait pas à l’origine d’une attaque par ransomware, mais qu’elle l’est devenue en « représailles devant une négociation de mauvaise foi ». Cela montre le risque d’une attaque prolongée et croissante de la part d’un acteur de la menace. Dans ce cas, la présence des attaquants aurait pu être détectée au cours de leurs phases de reconnaissance initiale avant qu’ils ne passent à l’ « attaque nucléaire » avec le ransomware. Il ne suffit pas de détecter les boîtes à outils de ransomware courantes – les entreprises doivent avoir une vue d’ensemble de leur environnement grâce à une combinaison d’outils comme le Pen-Testing-as-a-Service, EDR et SIEM.

Empêcher l’accès initial en renforçant la vérification de l’identité de l’utilisateur final

Avec Specops Secure Service Desk, vous pouvez appliquer en toute sécurité la vérification de l’identité de l’appelant au lieu de vous appuyer sur des processus non sécurisés ou « sur papier », sont sujets à l’erreur humaine. Les clients de Secure Service Desk peuvent utiliser des méthodes d’authentification qui éliminent les possibilités d’usurpation d’identité, en exigeant une vérification avec quelque chose que l’utilisateur possède, et pas seulement avec quelque chose que l’utilisateur ou un attaquant peut connaître.

Secure Service Desk renforce la sécurité grâce à des options de vérification de l’identité allant des codes de vérification mobiles ou par e-mail aux fournisseurs commerciaux comme Duo Security, Okta et PingID. Tous les services d’identité pris en charge vont au-delà de la méthode basée sur les connaissances « quelque chose que vous savez » en exigeant « quelque chose que vous avez » comme la possession d’un appareil.

Si vous souhaitez éliminer le risque d’ingénierie sociale au niveau du helpdesk en renforçant vérification de l’utilisateur avant d’autoriser la réinitialisation d’un mot de passe ou le déverrouillage d’un compte, contactez-nous pour voir comment Secure Service Desk pourrait fonctionner dans votre environnement.

(Dernière mise à jour le 19/03/2024)

Revenir sur le blog