L’industrie du casino à Las Vegas sous attaque : Caesars Entertainment a payé les pirates

Las Vegas a été secouée par une attaque de ransomware d’envergure qui a touché de plein fouet deux des plus grands acteurs de l’industrie du casino : Caesars Entertainment et MGM Resorts. Les détails viennent d’être révélés via un rapport publié par la Securities and Exchange Commission (SEC) des États-Unis. Caesars a payé !

Le 7 septembre, le rapport de violation de Caesars Entertainment a été rendu public, mettant en lumière une attaque d’ingénierie sociale dirigée contre un fournisseur de support informatique tiers utilisé par l’entreprise. Les attaquants ont réussi à compromettre les réseaux de Caesars en exploitant cette faille.

Des rumeurs circulent selon lesquelles MGM Resorts, l’autre géant des casinos, aurait été victime d’une attaque similaire de phishing, également connue sous le nom de « vishing ». Les pirates ont utilisé le nom d’un employé de MGM trouvé sur LinkedIn pour appeler le service d’assistance informatique, convaincant ainsi l’opérateur informatique de les aider à changer leur mot de passe, leur donnant ainsi un accès au système.

Quatre jours après les attaques, MGM Resorts peine toujours à reprendre ses activités commerciales normales. Les réseaux sociaux sont inondés de photos montrant des machines à sous affichant des messages d’erreur dans les étages des casinos, et les clients d’hôtels doivent s’enregistrer à l’ancienne, avec un stylo et du papier.

ALPHV, le blackcat de Las Vegas

Comme je vous le révélais il y a quelques jours, les pirates du groupe ALPHV/BlackCat ont revendiqué la responsabilité de ces attaques. Un second pirate, du nom de Scattered Spider, a déclaré avoir volé six téraoctets (6 To) de données entre les deux géants de l’hôtellerie, dont des informations sensibles sur des millions de clients. Comme ZATAZ vous l’a expliqué, ALPHV a démenti l’action annoncée par Scattered Spider de ce qu’ils affichent comme étant des « Copy Cat ».

Le nombre total de clients des deux sociétés est réparti dans plus de 90 hôtels et complexes de jeux, avec des milliers de chambres dans chaque établissement. Les conséquences de cette violation de données sont donc potentiellement massives.

En ce qui concerne Caesars Entertainment, des sources anonymes ont révélé que la société aurait versé la moitié d’une demande de rançon initiale de 30 millions de dollars aux pirates. Bien que Caesars n’ait pas confirmé publiquement le paiement, le rapport de la SEC suggère l’existence d’un accord entre l’entreprise et les cybercriminels.

Ave Caesar praedo te salutant

Scattered Spider, également connu sous le nom d’UNC 3944, est responsable de plus de 100 violations au cours des deux dernières années, touchant diverses industries, de la technologie aux télécommunications en passant par les compagnies d’assurance.

CrowdStrike avait révélé, en 2022, une campagne au cours de laquelle les pirates avaient mis la main sur des fournisseurs de services de télécommunication et des sociétés d’externalisation des processus commerciaux. Les chercheurs avaient identifié cinq intrusions distinctes, commençant en juin 2022. Une activité attribuée au groupe Scattered Spider. L’accès initial aux réseaux d’entreprise est obtenu grâce à diverses tactiques d’ingénierie sociale. Celles-ci incluent des appels aux employés au nom des spécialistes informatiques pour collecter des informations d’identification ou l’utilisation de messages Telegram et SMS pour rediriger les cibles vers des sites de phishing spécialement créés. Dans certains cas, les pirates ont exploité CVE-2021-35464, une vulnérabilité dans le serveur ForgeRock AM corrigée en octobre 2021, pour exécuter du code et augmenter leurs privilèges sur AWS.

Jackpot pour pirate ?

Après avoir découvert la faille, Caesars Entertainment a pris des mesures pour prévenir de futures intrusions dans son réseau. Cependant, les pirates ont réussi à voler l’intégralité de la base de données du programme de fidélité de Caesars, contenant des informations sensibles telles que les numéros de permis de conduire et/ou les numéros de sécurité sociale de nombreux membres.

Jusqu’à présent, il n’y a aucune preuve que les mots de passe/PIN des membres, les coordonnées bancaires ou les informations de carte de paiement aient été volés, et les données n’ont pas été publiées ou partagées en ligne.

Le gouverneur de Las Vegas, Joseph Lombardo, et le Nevada Gaming Control Board surveillent la situation de près, en collaboration avec d’autres organismes chargés de l’application de la loi.

Caesars Entertainment a mis en place un site Web de réponse officiel pour fournir des informations aux personnes potentiellement affectées par l’attaque, ainsi que des ressources supplémentaires. Les personnes concernées pourront également bénéficier de services gratuits de surveillance du crédit et de protection contre le vol d’identité.

Pour ne pas voir ses informations diffusées, Ceasar a payé 15 millions de dollars les pirates informatiques !

Selon les informations de ZATAZ, si vous êtes un français, belge, suisse, luxembourgeois et que vous avez été ou êtes membre fidélité du Ceasar, vos données ont été copiées par les pirates. « Si vous n’êtes pas membre du programme de fidélité, vos informations ne seront pas incluses dans cette base de données. Vous pouvez contacter notre ligne dédiée à la réponse aux incidents pour vérifier si vous êtes membre. Il est joignable au (888) 652-1580, du lundi au vendredi, de 9 h à 21 h, heure de l’Est (sauf les jours fériés). » confirme la société.