La grande enseigne de lhtellerie et des casinos Caesars Entertainment a confirm jeudi avoir t victime dune cyberattaque qui a compromis les donnes personnelles de ses clients fidles. Selon des sources proches du dossier, Caesars aurait pay des dizaines de millions de dollars aux pirates pour quils suppriment les donnes voles et ne les rendent pas publiques. Caesars est la deuxime grande enseigne de lhtellerie et du casino tre pirat ces dernires semaines, aprs que MGM Resorts a signal lundi dernier un problme de cyberscurit .
Caesars a dclar dans un avis 8-K dpos auprs des rgulateurs fdraux avant l’ouverture des marchs jeudi que des pirates informatiques avaient vol une copie de la base de donnes du programme de fidlit de l’entreprise, qui comprend les numros de permis de conduire et les numros de scurit sociale d’un nombre important de membres .
Un avis 8-K est un document que les socits cotes en bourse aux tats-Unis doivent dposer auprs de la Securities and Exchange Commission (SEC) lorsquelles font face des vnements importants qui affectent leurs activits. Ces vnements peuvent inclure, par exemple, des changements de direction, des fusions et acquisitions, des rsultats financiers, des faillites, des litiges ou des violations de la scurit. Lobjectif dun avis 8-K est dinformer les investisseurs et le public de manire rapide et transparente des faits susceptibles davoir un impact sur le cours de laction ou la valeur de lentreprise. Un avis 8-K doit tre dpos dans les quatre jours ouvrables suivant lvnement dclencheur, sauf exceptions. Il doit contenir une description dtaille de lvnement.
Caesars a dclar que d’autres donnes avaient t voles lors de la cyberattaque, mais n’a pas prcis quoi. On ne sait pas combien de personnes sont touches par lincident.
Nous avons pris des mesures pour garantir que les donnes voles soient supprimes par l’acteur non autoris, mme si nous ne pouvons pas garantir ce rsultat , a dclar Caesars dans le dossier dpos auprs de la SEC, ce qui implique que la socit avait pay une ranon comme indiqu.
Dans un autre avis de violation de donnes, Caesars a confirm que la cyberattaque avait t provoque par une ingnierie sociale sur un fournisseur informatique externe, que Caesars n’a pas nomm :
Caesars Entertainment ( Caesars ) a rcemment identifi une activit suspecte sur son rseau informatique rsultant d’une attaque d’ingnierie sociale contre un fournisseur de support informatique externe utilis par la Socit.
Aprs avoir dtect l’activit suspecte en cause, nous avons rapidement activ nos protocoles de rponse aux incidents et mis en uvre des mesures pour renforcer la scurit de notre rseau. Nous avons galement lanc une enqute, engag des socits de cyberscurit de premier plan pour nous aider et inform les forces de l’ordre et les rgulateurs des jeux de hasard des tats.
Le 7 septembre, nous avons dtermin que l’acteur non autoris avait acquis, entre autres donnes, une copie de la base de donnes de notre programme de fidlit, qui comprend les numros de permis de conduire et/ou les numros de scurit sociale d’un nombre important de membres de la base de donnes. Nous enqutons toujours pour savoir si des informations personnelles supplmentaires ou autrement sensibles taient contenues dans les fichiers acquis par l’acteur non autoris. Nous n’avons aucune preuve ce jour que les mots de passe/PIN des membres, les informations de compte bancaire ou les informations de carte de paiement (PCI) ont t acquis par l’acteur non autoris.
Caesars Entertainment aurait pay des dizaines de millions de dollars
Caesars Entertainment aurait pay des dizaines de millions de dollars aux pirates informatiques qui menaaient de divulguer les donnes de l’entreprise, a rapport Bloomberg. L’attaque aurait t perptre par un groupe appel Scattered Spider (alias UNC 3944), un groupe habile utiliser l’ingnierie sociale pour contourner la scurit des rseaux d’entreprise. Il s’agit de la deuxime attaque notable d’un groupe de casinos de Las Vegas, aprs un piratage ayant provoqu une cyber-panne chez MGM Resorts.
Les membres du groupe de piratage informatique se trouveraient aux tats-Unis et au Royaume-Uni et auraient peine 19 ans. Ils ont commenc cibler Caesars ds le 27 aot et ont obtenu l’accs un fournisseur extrieur avant d’entrer dans le rseau de l’entreprise, selon le rapport.
Scattered Spider serait en activit depuis mai 2022 et aurait largement attaqu des organisations de tlcommunications et d’externalisation d’entreprises, selon Trellix. Le groupe est connu pour se faire passer pour du personnel informatique et utilise l’ingnierie sociale pour persuader les responsables de l’entreprise d’utiliser la surveillance distance et d’autres outils. partir de l, ils exploitent les vulnrabilits et utilisent des outils comme Stonestop pour chapper aux logiciels de scurit. Security Week les dcrit comme des acteurs menaants motivs par des raisons financires .
Le groupe a galement t impliqu dans la cyber-panne de MGM Resorts, bien qu’un autre groupe de ransomware appel ALPHV/BlackCat s’en soit galement attribu le mrite. ALPHV affirme galement avoir eu recours lingnierie sociale pour pntrer le rseau de MGM Resorts, affirmant quil na fallu quune conversation de dix minutes pour y accder. Certains estiment que Scattered Spider serait affili ALPHV. Quoiqu’il en soit, MGM aurait refus de payer la ranon demande.
Lorsque les administrateurs du rseau MGM ont constat quils ne pouvaient pas expulser les parasites, le personnel a ferm diverses parties de leur infrastructure pour tenter de repousser les intrus.
Aprs avoir attendu un jour, nous avons lanc avec succs des attaques de ransomware contre plus de 100 hyperviseurs ESXi dans leur environnement le 11 septembre aprs avoir essay de les contacter en vain , s’est vant le gang criminel, ajoutant que MGM Resorts ne semblait pas dispos ngocier avec les extorsionnistes pour mettre fin l’attaque. Et si un accord nest pas conclu, AlphaV peut divulguer des donnes, y compris des informations personnelles, voles lentreprise.
Nous continuons d’avoir accs certaines infrastructures de MGM. Si un accord nest pas conclu, nous mnerons des attaques supplmentaires , indique le communiqu.
Nous continuons d’attendre que MGM nous contacte car ils ont clairement dmontr qu’ils savent o nous contacter , a ajout le gang, faisant rfrence son observation de quelqu’un entrant et sortant tranquillement d’un salon de discussion mis en place par AlphaV pour ngocier le paiement d’une ranon.
Les oprations de MGM, lun des plus grands oprateurs de casinos et dhtels du monde, taient toujours perturbes quatre jours aprs lannonce du piratage. Des messages derreur taient affichs sur les machines sous dans ses casinos de Las Vegas, selon des publications sur les rseaux sociaux.
Le FBI recommande de ne pas payer de ranon
Le FBI recommande de ne pas payer de ranon aux pirates informatiques pour plusieurs raisons :
- Payer la ranon encourage les pirates continuer leurs attaques et demander des sommes plus leves.
- Payer la ranon ne garantit pas que les pirates restitueront les donnes ou qu’ils n’ont pas install une porte drobe pour revenir plus tard.
- Payer la ranon finance d’autres activits criminelles, comme le trafic d’armes, de drogues ou d’tres humains.
- Payer la ranon peut exposer les victimes des poursuites judiciaires si elles violent des sanctions ou des lois contre le financement du terrorisme.
- Payer la ranon ne rsout pas le problme de fond, qui est le manque de scurit et de prvention des systmes informatiques.
Le FBI conseille plutt aux victimes de ransomware de signaler immdiatement l’incident, de cooprer avec les autorits, de conserver les preuves et de restaurer leurs systmes partir de sauvegardes fiables. Le FBI dispose galement de capacits techniques pour aider les victimes dchiffrer leurs donnes sans payer la ranon.
Nanmoins, certaines entreprises choisissent de payer la ranon. C’est le cas de Colonial Pipeline, qui aurait vers prs de 5 millions de dollars en bitcoins au groupe de pirates qui l’a forc fermer ses systmes de manire proactive, conduisant les automobilistes de certains tats amricains se ruer sur les stations-service.
Le PDG de Colonial Pipeline dit avoir autoris le paiement de la ranon, d’un montant de 4,4 millions de dollars, parce que les dirigeants n’taient pas srs de la gravit de la cyberattaque qui avait port atteinte ses systmes ni du temps qu’il faudrait pour remettre le pipeline en tat. Blount a reconnu publiquement qu’il s’agissait d’une option qu’il estimait devoir utiliser, compte tenu des enjeux lis la fermeture d’une infrastructure nergtique aussi essentielle.
Je sais que c’est une dcision trs controverse , a dclar Blount dans ses premires remarques publiques depuis le piratage informatique. Je ne l’ai pas prise la lgre. J’admets que je n’tais pas l’aise de voir de l’argent partir vers des gens comme a . Il poursuit en disant que c’tait la bonne chose faire pour le pays .
Cette dcision n’a pas t prise la lgre , mais elle devait tre prise, a dclar un porte-parole de la socit. Des dizaines de millions d’Amricains comptent sur Colonial les hpitaux, les services mdicaux d’urgence, les forces de l’ordre, les services d’incendie, les aroports, les chauffeurs routiers et les voyageurs .
Sources : avis 8-k, note spare de Caesars Entertainment sur l’incident
Et vous ?
Que pensez-vous de la dcision de Caesars de payer la ranon aux pirates ? Est-ce une bonne stratgie pour protger les donnes des clients ou un encouragement la cybercriminalit ?
Quelles sont les consquences possibles pour les clients de Caesars dont les donnes ont t voles ? Des risques dusurpation didentit, de fraude ou de chantage ?
Comment les entreprises du secteur du tourisme et des loisirs peuvent-elles se protger contre les cyberattaques ? Quelles sont les mesures de scurit et de prvention mettre en place ?
Quel est le rle des autorits dans la lutte contre les cyberattaques ? Comment peuvent-elles cooprer avec les entreprises victimes et les poursuivre en justice ?