Como hackers acessaram o sistema de um dos maiores grupos de cassino do mundo

Ataque online que paralisou as operações da MGM Resorts nesta semana nos EUA é investigado com ajuda do FBI; empresa diz que não comenta o caso

Por

Bloomberg — O ataque hacker que interrompeu as operações de resorts e cassinos da MGM Resorts International nos Estados Unidos nesta semana começou com uma violação de engenharia social do help desk de TI da empresa, de acordo com um executivo de cibersegurança familiarizado com a investigação que falou à Bloomberg News.

David Bradbury, diretor de segurança da empresa de gerenciamento de identidade e acesso Okta, disse que sua empresa emitiu um alerta de ameaça em agosto sobre ataques semelhantes contra alguns de seus clientes, nos quais hackers usaram táticas de engenharia social - em que criminosos virtuais induzem usuários a enviar dados confidenciais - de baixa tecnologia para obter acesso e, em seguida, métodos mais avançados que lhes permitiram se passar por usuários nas redes.

O aviso da Okta alertou que os hackers estavam enganando a equipe de atendimento de serviços de TI para redefinir as configurações de autenticação multifator inscritas por “usuários altamente privilegiados”.

Naquela época, Bradbury disse que sua equipe não tinha certeza de quem estava por trás dos ataques. Mas, nas semanas seguintes, ele disse que “todos os sinais apontam” para um grupo conhecido como Scattered Spider, o mesmo suspeito de hackear a MGM e a Caesars Entertainment nas últimas semanas.

A Okta tem ajudado a MGM, um cliente, em sua resposta ao ataque, disse ele. A Okta também conta com a Caesars como cliente.

Brian Ahern, porta-voz da MGM Resorts, se recusou a comentar os detalhes do ataque. Ahern disse que a empresa tem trabalhado com o FBI e a Agência de Segurança Cibernética e Infraestrutura dos EUA desde a ocorrência do ataque.

O FBI disse em um comunicado fornecido à Bloomberg News que está investigando tanto os incidentes da Caesars quanto da MGM.

Um ex-funcionário da MGM que estava familiarizado com as políticas de cibersegurança da empresa apontou para o help desk como vulnerável a ataques. A pessoa disse que, para obter uma redefinição de senha, os funcionários precisariam divulgar informações básicas sobre si mesmos - nome, número de identificação de funcionário e data de nascimento -, detalhes que seriam triviais de obter para hackers criminosos.

O funcionário, que pediu anonimato para discutir assuntos delicados, disse que os detalhes eram fáceis demais de obter e foram a causa raiz do que “pegou a MGM”.

Representantes da MGM não responderam imediatamente aos pedidos de comentários sobre as alegações do funcionário.

A Caesars informou em um documento regulatório que identificou atividades suspeitas em sua rede “resultantes de um ataque de engenharia social em um fornecedor terceirizado de suporte de TI usado pela empresa”. O ataque à Caesars ocorreu nas últimas semanas, e os hackers invadiram os sistemas da empresa e ameaçaram divulgar dados, de acordo com duas pessoas familiarizadas com o assunto.

A Caesars pagou dezenas de milhões de dólares aos atacantes, disseram as pessoas. “Tomamos medidas para garantir que os dados roubados sejam apagados pelo ator não autorizado, embora não possamos garantir esse resultado”, disse a Caesars no documento.

O Scattered Spider, também conhecido como UNC3944, é conhecido por suas habilidades de engenharia social. Membros do grupo estão sediados nos EUA e no Reino Unido, e alguns têm apenas 19 anos, de acordo com quatro especialistas em cibersegurança familiarizados com o grupo.

Eles às vezes também trabalham com uma gangue de ransomware conhecida como ALPHV, que se acredita ser baseada na Rússia, de acordo com especialistas em cibersegurança.

Em um comunicado postado na página dark web do grupo na quinta-feira (14), a ALPHV reivindicou o crédito pelo ataque e chamou de rumores a informação de que adolescentes dos EUA e do Reino Unido estavam envolvidos na violação. O grupo também disse que as tentativas da MGM de expulsá-los do sistema Okta não saíram como planejado.

Bradbury, da Okta, disse que queria divulgar informações sobre os hackers e suas técnicas para que os clientes possam reforçar suas defesas cibernéticas. Ele descreveu os hackers como altamente habilidosos em tecnologia de identidade, “então podemos esperar que eles façam cada vez mais ataques no futuro”.

Veja mais em Bloomberg.com

Leia também

Videogame no expediente? Jovens ampliam tempo em jogos e reduzem no trabalho

Como um ciberataque à MGM Resorts afetou de máquinas de cassino ao check-in em hotel