Dos gigantes de la hotelería mundial cayeron esta semana ante un ataque de ransomware: MGM Resorts International y Caesars Entertainment fueron víctimas de un robo de 6 TB de información. Según trascendió en versiones periodísticas (Bloomberg, Forbes), Caesars pagó decenas de millones de dólares (se habla de 30).

Más allá de esta información, que el medio financiero dice que está confirmada por “dos personas familiarizadas con el asunto” sin proporcionar más datos, Caesars emitió un comunicado 8-K ante la SEC, la comisión reguladora de Wall Street en Estados Unidos.

Y allí, en el comunicado, el hotel dice que “se tomaron los pasos necesarios para que la información robada sea borrada por el actor no autorizado”, de lo cual puede inferirse, por la lógica del negocio del ransomware, que se cedió ante las presiones y se pagó el rescate.

Allí aseguraron que la intrusión fue “a partir de un ataque de ingeniería social contra un vendor de soporte IT usado por la compañía”.

El ataque al Caesars ocurrió semanas antes del ataque al MGM Resorts que, desde este domingo por la noche, causó estragos en las operaciones de MGM, obligando a los huéspedes a esperar horas para registrarse y paralizando los pagos electrónicos, tarjetas digitales, máquinas tragamonedas, cajeros automáticos y sistemas de estacionamiento pago.

El sitio web y la aplicación móvil de la empresa estuvieron fuera de línea durante casi cuatro días.

El ataque fue llevado adelante por Scattered Spider (así lo llama CrowdStrike, 0ktapus para Group-IB), un actor de amenazas afiliado al conocido cartel de ransomware Black Cat (ALPHV). Sobre sus tácticas, técnicas y procedimientos (TTP), escribió Will (@BushidoToken):

CrowdStrike presentó Scattered Spider en diciembre de 2022 y compartió una actualización en enero de 2023. Estos actores de amenazas angloparlantes con motivaciones financieras son conocidos por su estilo único de ataques, que suelen comenzar todos de la misma manera, ya sea a través de un mensaje de phishing SMS para recopilar credenciales o a través de una llamada de vishing de ingeniería social de la vieja escuela (aunque sigue siendo muy eficaz) para obtener credenciales o conseguir que el objetivo descargue software malicioso y proporcione acceso.

Entre sus ataques conocidos se encuentra el hackeo a los sistemas de Riot Games (desarrolladores de League of Legends) y Reddit, en enero y febrero de este año, respectivamente.

El analista arriesga en su blog una hipótesis de afiliación a Black Cat:

Debido a la naturaleza irregular de las campañas de Scattered Spider hasta principios de 2023, el grupo ha decidido cambiar de táctica y unirse a la comunidad cibercriminal de operadores de ransomware de habla rusa.

La agencia de noticias Reuters aseguró que se comunicó con un miembro del grupo vía Telegram y que le confirmaron que por el momento no publicarán la información.

Black Cat publicó un extenso comunicado durante las últimas horas del jueves, donde aseguran que siguen teniendo acceso a los sistemas de MGM:

Seguimos teniendo acceso a parte de la infraestructura de MGM. Si no se llega a un acuerdo, llevaremos a cabo ataques adicionales. Seguimos esperando que MGM tenga los huevos para contactarnos, ya que han demostrado claramente que saben cómo ponerse en contacto con nosotros.

Fuentes:

https://juanbrodersen.substack.com/p/un-ransomware-golpea-a-chile-y-colombia