Indignatie redactie 
MGM-casinohack Zitten we midden in Ocean’s 14 of is dit gewoon weer een ransomware-aanval?
Heeft de vooraanstaande casinoketen MGM Resorts gegokt met de gegevens van haar klanten? Dat is een vraag die veel van deze klanten zich waarschijnlijk nu stellen, dagen na een cyberaanval die veel van MGM’s systemen platlegde. En het kan allemaal zijn begonnen met een telefoontje, als we de berichten mogen geloven waarin de hackers zelf worden genoemd.
MGM, dat meer dan twintig hotel- en casinolocaties over de hele wereld bezit, evenals een online sportweddenschap, meldde maandag dat een “cyberveiligheidsprobleem” van invloed was op sommige van zijn systemen, die het sloot om “onze systemen te beschermen en gegevens.” De komende dagen zeiden rapporten dat alles, van de digitale sleutels van hotelkamers tot speelautomaten, niet werkte.
https://twitter.com/MGMResortsIntl/status/1701256032369164399
Zelfs websites gingen vanwege de vele eigendommen een tijdje offline. Gasten stonden urenlang in de rij te wachten om in te checken en fysieke kamersleutels te krijgen of handgeschreven bonnen voor casinowinsten te krijgen toen het bedrijf overging op de handmatige modusom zo operationeel mogelijk te blijven.
MGM Resorts reageerde niet op een verzoek om commentaar en heeft alleen vage verwijzingen naar een “cyberveiligheidsprobleem” op Twitter /X geplaatst, waarmee de gasten werden gerustgesteld dat het eraan werkte om het probleem op te lossen en dat de resorts open bleven .
https://twitter.com/MGMResortsIntl/status/1702290900217413783
De aanvallen laten zien hoe zelfs organisaties waarvan je zou verwachten dat ze speciaal opgesloten en beschermd zijn tegen cyberaanvallen – bijvoorbeeld enorme casinoketens die elke dag tientallen miljoenen dollars binnenhalen – nog steeds kwetsbaar zijn als de hacker de juiste aanvalsvector gebruikt. En dat is bijna altijd een mens en menselijke natuur.
In dit geval lijkt het erop dat openbaar beschikbare informatie en een overtuigend telefoongesprek voldoende waren om de hackers alles te geven wat ze nodig hadden om in de systemen van MGM binnen te dringen en een waarschijnlijk zeer dure verwoesting aan te richten die zowel de resortketen als veel van haar bedrijven schade zal berokkenen. gasten.
Spinnen en katten eisen de verantwoordelijkheid op voor de aanval
Er wordt aangenomen dat een groep die bekend staat als Scattered Spider verantwoordelijk is voor de MGM-inbreuk en naar verluidt gebruik heeft gemaakt van ransomware van ALPHV, of BlackCat , een ransomware-as-a-service- operatie. Scattered Spider is gespecialiseerd in social engineering , waarbij aanvallers slachtoffers manipuleren om bepaalde acties uit te voeren door zich voor te doen als mensen of organisaties waarmee het slachtoffer een relatie heeft.
De hackers zouden vooral goed zijn in ‘vishing’, oftewel het verkrijgen van toegang tot systemen via een overtuigend telefoontje, in plaats van phishing, wat via een e-mail gebeurt.
De leden van Scattered Spider zijn vermoedelijk eind tienerjaren en begin twintig, gevestigd in Europa en mogelijk de VS, en spreken vloeiend Engels – wat hun vispogingen veel overtuigender maakt dan bijvoorbeeld een telefoontje van iemand met een Russisch accent en alleen een praktische kennis van het Engels. In dit geval lijkt het erop dat de hackers de informatie van een werknemer op LinkedIn hebben gevonden en deze hebben nagebootst tijdens een telefoontje naar de IT-helpdesk van MGM om inloggegevens te verkrijgen om toegang te krijgen tot de systemen en deze te infecteren.
All ALPHV ransomware group did to compromise MGM Resorts was hop on LinkedIn, find an employee, then call the Help Desk.
A company valued at $33,900,000,000 was defeated by a 10-minute conversation.
— vx-underground (@vxunderground) September 13, 2023
Iemand die beweert een vertegenwoordiger van de groep te zijn, vertelde de Financial Times dat zij de gegevens van MGM heeft gestolen en gecodeerd en een betaling in crypto eist om deze vrij te geven. Dit was het back-upplan; De groep was aanvankelijk van plan de speelautomaten van het bedrijf te hacken, maar slaagde daar niet in, beweerde de vertegenwoordiger.
Als je daardoor denkt dat we midden in een remake van Ocean’s 13 zitten , moet je ook weten dat dit misschien niet klopt. ALPHV/BlackCat ontkent delen van deze rapporten, met name de poging tot het hacken van gokautomaten. De groep plaatste donderdagavond een bericht waarin ze de verantwoordelijkheid voor de aanval opeiste, maar ontkende dat deze was gepleegd door tieners in de VS en Europa of dat iemand had geprobeerd met speelautomaten te knoeien.
Het bedrijf bekritiseerde ook de onjuiste berichtgeving over de hack en zei dat het met niemand officieel over de hack had gesproken, en dat “hoogstwaarschijnlijk” ook niet in de toekomst zou doen. In het bericht stond dat er gegevens waren gestolen van MGM, dat tot nu toe heeft geweigerd in contact te komen met de hackers of enige vorm van losgeld te betalen.
More updates from #Alphv re: #MGM including shout-outs to @zebatweets, @VitalVegas and a semi-apology to @vxunderground. pic.twitter.com/iHO1KnsK7F
— Brett Callow (@BrettCallow) September 15, 2023
Het lijkt erop dat MGM niet de enige casinoketen was die getroffen werd door een recente cyberaanval. Caesars Entertainment betaalde miljoenen dollars aan hackers die rond dezelfde tijd als MGM inbreuk maakten op zijn systemen en hun activiteiten normaal konden voortzetten.
Caesars gaf de overtreding toe in een aanvraag donderdag met de Securities and Exchange Commission, waar zij zei dat een “uitbestede IT-ondersteuningsleverancier” het slachtoffer was van een “social engineering-aanval” die ertoe leidde dat gevoelige gegevens over leden van het klantloyaliteitsprogramma werden gestolen.
Hoewel de methode sterk lijkt op de methode die naar verluidt door Scattered Spider wordt gebruikt en de aanval bijna op hetzelfde moment plaatsvond als die van MGM, vertelde de vermeende vertegenwoordiger van de groep aan de Financial Times dat deze er niet achter zat. Hoewel, nogmaals, een andere groep lijkt te ontkennen dat Scattered Spider een van de aanvallen heeft uitgevoerd, of dat de manier waarop de gebeurtenissen zijn gerapporteerd in ieder geval niet klopt.
Waarom vishing werkt
Hoewel we nog geen bevestiging hebben van wie MGM heeft aangevallen en zelfs hoe, is de vermeende methode, vishing, een bekende bedreiging voor de cyberveiligheid waartegen veel organisaties zich niet voldoende hebben beschermd. Vishing is een combinatie van ‘voice’ en ‘phishing’ en richt zich, net als alle social engineering-technieken, op wat doorgaans de zwakste schakel in de cyberbeveiligingsketen is: wij .
Meer dan 90 procent van de cyberaanvallen begint met phishing, en het is ook een van de meest voorkomende manieren waarop organisaties binnendringen. En vishing is een bijzonder effectieve aanvalsroute: uit een IBM-rapport uit 2022 bleek dat gerichte phishing-aanvallen waarbij telefoongesprekken betrokken waren, drie keer effectiever waren dan aanvallen waarbij dat niet het geval was.
“Er is altijd een klein achterdeurtje, en de beste verdedigingen en dure tools kunnen voor de gek worden gehouden door één goede social engineering-aanval”, zegt Peter Nicoletti, Global Chief Information Security Officer bij cybersecuritybedrijf Check Point Software, tegen Vox.
Ransomware-aanvallen zijn tegenwoordig niet ongebruikelijk. Ze hebben grote gaspijpleidingen , banken , ziekenhuizen , scholen , vleesproducenten , overheden en journalistieke kanalen gesloten . Op dit moment zou het moeilijk zijn om een bedrijfstak of sector te vinden die niet is getroffen door een ransomware-aanval. ‘Vishing’ daarentegen is een methode die nog niet zoveel aandacht heeft gekregen, maar we zullen er wellicht nog veel meer gaan zien.
“Wat we zien, vooral in het nieuwe tijdperk van kunstmatige intelligentie , is dat de aanvallers niet alleen gebruik maken van gehackte informatie die ze over jou vinden, maar ook van al je sociale profielinformatie”, aldus Nicoletti.
Stephanie Carruthers, een ‘chief people hacker’ voor IBM, gebruikt social engineering om de systemen van klantorganisaties te testen om potentiële kwetsbaarheden te vinden. Dat geldt ook voor vishing, waardoor ze op de eerste rij zit en kan bekijken hoe deze kan worden gebruikt om toegang te krijgen tot een doelwit.
“Vanuit het perspectief van de aanvaller is vishing eenvoudig”, vertelde ze aan Vox. “Bij phishing moet ik infrastructuur opzetten, een e-mail opstellen en al deze extra technische dingen doen. Maar met vishing… is het de telefoon opnemen en iemand bellen en om een wachtwoordreset vragen. Het is vrij eenvoudig.”
Een van de sleutels tot een succesvolle vishing-aanval is voldoende kennis over een systeem, bedrijf of werknemer om de imitatie uit te voeren. Je kunt veel leren over mensen en organisaties, alleen al door wat publiekelijk beschikbaar is, inclusief wie de waardevolle doelwitten van bedrijven zijn.
“Het maakt het werk van een aanvaller zoveel gemakkelijker”, zei Carruthers. “Zaken als LinkedIn en verschillende soorten mensenzoekmachines, dat is de eerste stap naar het maken van een succesvolle vish.” Van daaruit kan de aanvaller andere social engineering-technieken gebruiken , zoals het toevoegen van een gevoel van autoriteit of urgentie aan een verzoek. Organisaties met ontoereikende verificatieprocessen om te bewijzen dat de beller is wie zij beweren te zijn, zijn bijzonder kwetsbaar. “Het is iets dat we voortdurend zien gebeuren”, voegde Carruthers eraan toe.
Het helpt niet dat bedrijven vishing vaak over het hoofd zien in de cybersecuritytraining van hun medewerkers, en ze vragen mensen als Carruthers niet om te testen op vishing-kwetsbaarheden, zoals ze wel doen voor phishing. Een veelbesproken aanval zoals die van MGM zou daar verandering in kunnen brengen. Maar het kan ook leiden tot een toename van vishing-aanvallen, nu andere hackers zien dat het resultaat oplevert.
Dus wat kun je doen om jezelf te beschermen? Als het gaat om pogingen om u persoonlijk te benaderen, gelden dezelfde algemene regels over voorzichtig zijn met welke informatie u deelt en met wie. Geef uw inloggegevens en wachtwoorden niet door, en wees ook voorzichtig met uw openbaar beschikbare gegevens, aangezien aanvallen deze tegen u kunnen gebruiken (of zich voor kunnen doen als u om iemand anders te misleiden).
Controleer of mensen zijn wie ze beweren te zijn voordat u met hen in contact komt. Gebruik verschillende wachtwoorden voor al uw accounts, zodat als iemand toegang krijgt tot een van deze accounts, hij of zij geen toegang meer heeft tot andere accounts, en gebruik multi-factor authenticatie voor een extra beschermingslaag.
In dit geval kunnen mensen echter niet veel doen als een bedrijf dat zij hun gegevens toevertrouwen niet over voldoende systemen beschikt om deze te beschermen – wat veel van hen niet hebben . Maar ze kunnen achteraf wel een paar dingen doen om mogelijke schade tot een minimum te beperken. Nicoletti zegt dat klanten van MGM hun bankafschriften moeten controleren voor het geval hun debetkaartnummers bij de inbreuk openbaar worden gemaakt, en anders hun bank om een nieuwe kaart moeten vragen.
Hij zegt ook dat MGM-klanten vooral op hun hoede moeten zijn voor e-mails die beweren afkomstig te zijn van MGM, voor het geval de hackers de e-mailadressen van klanten zouden kunnen bemachtigen. En klik zeker niet op links en geef geen inloggegevens op als daarom wordt gevraagd.
Carruthers raadt MGM-klanten aan op hun hoede te zijn voor vreemde afschrijvingen op hun creditcards. Ze raadt hen ook aan om hun tegoed te bevriezen , wat gratis en gemakkelijk is en voorkomt dat potentiële identiteitsdieven creditcards op hun naam afsluiten.
