Les pirates d’ALPHV signe le piratage de MGM Resorts

[Info ZATAZ] – Alors que plusieurs hôtels du géant de l’hôtellerie MGM Resorts sont toujours en panne à la suite d’une cyberattaque, les hackers malveillants de Black Cat annoncent avoir ciblé l’hôtelier et ses clients.

Je vous racontais, il y a quelques jours, l’enfer vécu par les employés du groupe hôtelier MGM Resorts. Le géant de divertissement touristique (hôtel, casino, Etc.) était sous les coups d’une cyberattaque. Les employés ne pouvaient plus travailler, les clients ne pouvaient plus accéder à leur chambre, payer, Etc. Bref, tout cela ressemblait soit à un big bug, soit à un ransomware. Les pirates ne s’étaient pas faits connaître, du moins pas publiquement et officiellement. Bilan, des petits malins se sont installés dans l’histoire. Ont tenté une attaque de l’homme du milieu, entre les “vrais” pirates, et la MGM. D’ailleurs, c’est l’agence de presse Reuters qui a servi, bien involontairement, à cette tentative de double piège.

Le 14 septembre, le groupe de piratage Scattered Spider déclarait à Reuters avoir récupéré six téraoctets de données des systèmes des opérateurs de casino MGM Resorts International et Caesars Entertainment. Reuters a récupéré les informations d’un groupe Telegram bidon. Un représentant de ce groupe affichait alors ne pas envisager de rendre les données publiques et a refusé de dire s’il avait demandé une rançon aux entreprises. « Si MGM souhaite divulguer ces informations, elle le fera. Nous ne le faisons pas« . Des escrocs profitant de la situation pour récupérer de l’argent ? Des trolls heureux de raconter n’importe quoi à la presse ? Autant dire que les vrais pirates de la MGM sont sortis de leur silence.

ALPHV règle ses comptes

Les pirates informatiques du groupe ALPHV / Black Cat, connu pour de nombreux chantages numériques viennent d’annoncer être les vrais auteurs de la cyberattaque à l’encontre de la MGM. Ils en profitent pour régler leur compte à l’encontre de la direction du groupe hôtelier, de Reuters et des escrocs.

« Nous avons fait plusieurs tentatives pour contacter MGM Resorts International, « MGM ». […] Nous avons l’intention de rétablir la vérité. Aucun ransomware n’a été déployé avant la première mise hors service de leur infrastructure par leurs équipes internes. MGM a pris la décision précipitée de mettre hors service chacun de leurs serveurs Okta Sync après avoir découvert que nous avions été présents sur leurs serveurs Okta Agent pour capturer les mots de passe de personnes dont les mots de passe n’avaient pas pu être craqués à partir des données de leur contrôleur de domaine. Cela a entraîné le verrouillage complet de leur Okta. Pendant ce temps, nous continuions à avoir des privilèges de super administrateur sur leur Okta, ainsi que des privilèges d’administrateur global sur leur Azure. Ils ont tenté de nous expulser après avoir découvert que nous avions accès à leur environnement Okta, mais les choses ne se sont pas déroulées comme prévu. » affirme ALPHV.

Le dimanche soir, MGM a mis en place des restrictions conditionnelles qui ont interdit tout accès à leur environnement Okta (MGMResorts.okta.com) en raison de capacités administratives insuffisantes et de réponses à l’incident faibles. Leur réseau avait été infiltré depuis le vendredi 8 septembre. « En raison du manque de compréhension des ingénieurs réseau de leur réseau, l’accès au réseau posait problème le samedi. Ils ont ensuite pris la décision de « mettre hors ligne » apparemment des composants importants de leur infrastructure le dimanche« .

Après avoir attendu 24 heures, Black Cat a lancé “avec succès” des attaques de ransomware contre plus de 100 hyperviseurs ESXi dans leur environnement le 11 septembre, après avoir essayé de les contacter en vain. Cela s’est produit après qu’ils ont eu fait appel à des entreprises externes pour les aider à contenir l’incident.

« Dans notre discussion avec MGM, un utilisateur est soudainement apparu quelques heures après le déploiement du ransomware. Comme ils ne répondaient pas à nos e-mails avec le lien spécial fourni (afin d’empêcher d’autres membres du personnel informatique de lire les discussions), nous ne pouvions pas identifier activement si l’utilisateur dans la discussion était autorisé par la direction de MGM à être présent. […] Nous avons posté un lien, le 13 septembre, pour télécharger toutes les données exfiltrées jusqu’au 12 septembre. Comme l’individu dans la conversation ne provenait pas de notre point contact, nous n’avons pas pu confirmer s’ils avaient la permission d’être là.« 

Deux torts ne font pas un droit

ALPHV explique, pour confirmer sa présence et l’obtention de données exfiltrées, avoir mis un mot de passe fusionnant deux mots de passe appartenant à des cadres supérieurs de MGM. Des identifiants d’employés ont également été fournis pour les deux utilisateurs à des fins d’identification. Preuve que le pirates ont eu accès à de nombreuses informations tirées des Ressources Humaines du groupe américain. « L’utilisateur est régulièrement entré dans la salle de discussion [que ALPHV avait mis en place], y est resté quelques heures, puis est parti. […] Même après l’expiration du délai, ils ont continué à visiter le tchat sans répondre. Nous ne sommes pas certains si cette activité est automatisée, mais il est probable qu’il s’agisse d’une personne qui venait vérifier. » FBI, société cyber, direction de la MGM, les avocats, Etc. ?

Black Cat indique ne pas vouloir révéler si des informations PII (Informations personnellement identifiables) ont été exfiltrées à ce stade. Le fait de parler, plus haut, d’identifiant d’employés [direction, Etc.] ne laisse pas grand doute. « Si nous ne parvenons pas à conclure un accord avec MGM et que nous parvenons à établir que des informations PII sont contenues dans les données exfiltrées, nous prendrons les premières mesures pour informer Troy Hunt. Il sera libre de le divulguer de manière responsable s’il le souhaite. […] Nous croyons que MGM n’acceptera pas de négociation avec nous. Il suffit d’observer leur comportement de trading interne. Pensez-vous que cette entreprise se soucie de votre vie privée et de votre bien-être lorsque vous visitez l’un de leurs complexes ?« 

Black Cat affiche aussi un élément intéressant sur l’étude de leur cible, sur l’aspect boursier et clients. « Nous n’avons pas tenté de manipuler les machines à sous de MGM pour faire sortir de l’argent, car cela ne serait pas à notre avantage et diminuerait les chances de conclure un accord quelconque.” termine Black Cat. “Les rumeurs concernant des adolescents Américain et du Royaume-Uni qui auraient pénétré dans cette organisation ne sont toujours que des rumeurs. Nous attendons que ces entreprises de cybersécurité prétendument respectées qui continuent à faire cette affirmation commencent à fournir des preuves solides pour la soutenir.« 

Le groupe de rançongiciels ALPHV n’a jamais revendiqué publiquement ou en privé la responsabilité d’une attaque jusqu’à présent. « Des informations non vérifiées ont été divulguées depuis MGM Resorts International par des employés mécontents ou des experts en cybersécurité externes avant cette divulgation. Sur la base de divulgations non vérifiées, les médias ont décidé de prétendre faussement que nous avions revendiqué la responsabilité de l’attaque avant que nous ne le fassions réellement.« 

Black Cat aurait, toujours selon ses dires, des accès à certaines infrastructures de MGM.