Le 12 septembre dernier, une cyberattaque contre MGM Resorts International a jeté une lumière crue sur les failles de sécurité dans le secteur de l’hospitalité et suscite de nombreuses questions quant à la gestion de cette crise. Les détails de l’attaque et de ses conséquences sont encore en cours de clarification, mais voici un résumé des événements jusqu’à présent.
- Tentatives de Contact et fermeture du réseau
L’auteur de l’attaque, ALPHV (également connu sous le nom de BlackCat) prétend avoir tenté de contacter MGM Resorts International à plusieurs reprises, mais sans succès. En réponse à ces tentatives, MGM a pris la décision de fermer son réseau informatique. Il convient de noter que l’auteur affirme qu’aucun ransomware n’a été déployé avant cette première coupure du réseau par les équipes internes de MGM. - Fermeture des Serveurs Okta et Attaque de Ransomware
La situation s’est compliquée lorsque MGM a fermé ses serveurs Okta Sync après avoir découvert la présence de l’auteur sur leurs serveurs Okta Agent, où il aurait intercepté des mots de passe. Cela a entraîné le blocage de leur système Okta. Malgré cela, l’auteur a continué à avoir des privilèges élevés sur le système Okta de MGM.
Plus tard, MGM a mis en place des restrictions conditionnelles interdisant tout accès à leur environnement Okta en raison de capacités administratives insuffisantes et de playbooks de réponse aux incidents jugés faibles. La fermeture du réseau a posé des problèmes d’accès au réseau le samedi précédent, ce qui a entraîné une réduction des fonctionnalités.
Le dimanche suivant, l’auteur a réussi à lancer des attaques de ransomware contre plus de 100 hyperviseurs ESXi dans l’environnement de MGM. Cette action s’est produite après que des sociétés externes ont été appelées pour aider à contenir la situation. - Communication avec la Victime et Divulgation de Données
Dans une discussion avec la victime (MGM), un utilisateur est soudainement apparu quelques heures après le déploiement du ransomware. Cependant, cet utilisateur n’a pas répondu aux tentatives de communication de l’auteur. ALPHV a alors publié un lien accessible via un mot de passe pour empêcher un accès non autorisé et permettant de télécharger les données exfiltrées jusqu’au 12 septembre. Les détails sur la légitimité de cet utilisateur et son autorisation sont incertains.
- Remarques critiques envers MGM et allégations de ransomware
ALPHV émet des critiques sévères à l’encontre de MGM, suggérant que l’entreprise maltraite ses clients et remet en question sa responsabilité en matière de protection de la vie privée. ALPHV réfute les allégations selon lesquelles des adolescents américains et britanniques seraient responsables de cette attaque et remet également en question les déclarations faites par des entreprises de cybersécurité qui ont regroupé les actions de différents groupes de menaces, affirmant que cela a conduit à des attributions erronées. Le groupe de ransomware ALPHV, dont l’auteur prétend faire partie, n’avait jamais revendiqué la responsabilité d’une attaque auparavant, selon les affirmations. - L’Incident en cours
L’incident de cyberattaque contre MGM Resorts International reste en cours, avec des détails en évolution constante. La situation est complexe et soulève de nombreuses questions quant à la sécurité des données et à la gestion des incidents dans le secteur de l’hospitalité. La résolution de cette affaire dépendra de la coopération entre MGM et les auteurs présumés de l’attaque. Le public et l’industrie de la cybersécurité suivront de près l’évolution de cette situation et chercheront à en tirer des enseignements pour renforcer la protection des données dans le futur.
Le groupe de ransomware ALPHV n’avait jamais revendiqué la responsabilité d’une attaque auparavant.
“ALPHV et la montée en puissance des méga-ransomwares”
ALPHV (également connu sous le nom de BlackCat) est un acteur de menace de type ransomware-as-a-service (RaaS) apparu à la fin de l’année 2021. Il est connu pour utiliser le langage de programmation Rust et a la capacité d’attaquer les systèmes d’exploitation Windows et Linux. ALPHV est commercialisé sur des forums de cybercriminalité et exploite un programme d’affiliation. Certains affiliés ont ciblé des organisations dans divers secteurs, notamment la santé, l’industrie et le gouvernement. Le groupe est connu pour divulguer des données volées si ses demandes de rançon ne sont pas satisfaites et exploite plusieurs blogs sur le Dark Web.
ALPHV est l’un des principaux groupes de menaces RaaS, responsable de près de 9 % de toutes les victimes publiées au cours des 12 derniers mois sur les sites de la honte du Dark Web, précédé seulement par cl0p et Lockbit. Comme de nombreux groupes de ransomware établis, ALPHV a évolué pour devenir une opération bien organisée menant des attaques à grande échelle contre des entreprises de premier plan.
Sergey Shykevich, Check Point Research
