Caesars Entertainment et MGM Resorts semblent ont t cibles par des groupes de cybercriminels connus. ALPHV, galement connu sous le nom de Black Cat, a revendiqu l’attaque contre MGM, tandis qu’un groupe affili, qui se fait appeler Scattered Spider, a attaqu Caesars. Caesars a admis l’intrusion, affirmant avoir pris des mesures pour supprimer les donnes voles, probablement en payant la ranon ngocie 15 millions de dollars. D’un autre ct, MGM a refus de payer, subissant une semaine de perturbations et de pertes financires d’environ 100 millions de dollars, avec des donnes voles divulgues.
Les analystes suggrent que payer la ranon peut sembler tre la voie la moins douloureuse, mais les dcisions dpendent de nombreux facteurs, tels que le type de donnes compromises, les sauvegardes disponibles, l’impact financier, et la pression thique et lgale. En outre, les sanctions gouvernementales contre les criminels peuvent influencer ces choix, soulignant la ncessit d’efforts internationaux pour perturber l’cosystme des ranongiciels.
Il est notable que l’attaque contre Caesars a prcd de quelques semaines celle dirige contre MGM Resorts, laquelle a entran des perturbations massives dans les oprations de MGM. Cette situation a provoqu des retards importants lors des enregistrements des clients, paralysant les systmes de paiement lectronique, les cartes-cls numriques, les machines sous, les guichets automatiques et les services de stationnement payant, tout en maintenant le site web et l’application mobile de la socit hors ligne pendant prs de quatre jours.
Les leons de caesars entertainment et mgm resorts face a une augmentation mondiale des cyberattaques
Les deux entreprises rejoignent ainsi les statistiques d’une tendance mondiale, les cyberattaques ayant connu une augmentation de 156 % au deuxime trimestre de l’anne 2023 par rapport aux trois premiers mois, selon un rapport du Forum conomique mondial. Les grandes entreprises, en particulier, sont des cibles particulirement lucratives, avec MGM Resorts et Caesars Entertainment ayant gnr respectivement des revenus de 13 et 11 milliards de dollars l’anne dernire.
Caesars Entertainment est le plus grand propritaire de casinos au monde, avec plus de 65 millions de membres rcompenss et des tablissements dans 18 tats et au Canada sous les marques Caesars, Harrah’s, Horseshoe et Eldorado. Il propose galement des activits mobiles et en ligne, ainsi que des paris sportifs.
MGM Resorts est le plus grand employeur priv du Nevada. Il exploite des dizaines de milliers de chambres d’htel Las Vegas dans son tablissement phare MGM Grand et dans des tablissements tels que Bellagio, Aria, New York-New York et Mandalay Bay. Il exploite galement des complexes hteliers en Chine et Macao. Il emploie 75 000 personnes aux tats-Unis et l’tranger. MGM possde des tablissements dans le Maryland, le Massachusetts, le Michigan, le Mississippi, le New Jersey, New York et l’Ohio.
Le 7 septembre, Caesars Entertainment, propritaire de plus de 50 centres de villgiature et casinos Las Vegas et dans 18 autres tats amricains, a inform la SEC de l’intrusion par le biais d’un formulaire 8-K. Dans son rapport l’organisme de surveillance financire, Caesars a attribu l’incident une attaque d’ingnierie sociale sur un prestataire de services informatiques externalis , confirmant ultrieurement qu’il s’agissait d’Okta. Les cybercriminels ont russi voler la base de donnes du programme de fidlisation des clients, contenant une importante quantit d’informations personnelles
Un avis 8-K est un document que les socits cotes en bourse aux tats-Unis doivent dposer auprs de la Securities and Exchange Commission (SEC) lorsquelles font face des vnements importants qui affectent leurs activits. Ces vnements peuvent inclure, par exemple, des changements de direction, des fusions et acquisitions, des rsultats financiers, des faillites, des litiges ou des violations de la scurit. Lobjectif dun avis 8-K est dinformer les investisseurs et le public de manire rapide et transparente des faits susceptibles davoir un impact sur le cours de laction ou la valeur de lentreprise. Un avis 8-K doit tre dpos dans les quatre jours ouvrables suivant lvnement dclencheur, sauf exceptions. Il doit contenir une description dtaille de lvnement.
La faiblesse humaine dans la cybersecurite
Les deux gangs de ranongiciels privilgient l’utilisation de l’ingnierie sociale pour infiltrer les systmes informatiques des entreprises, une stratgie dans laquelle ils excellent, selon des experts en cyberscurit. ALPHV a vant sa capacit infiltrer le systme de MGM en seulement 10 minutes, identifiant un employ technique de MGM sur LinkedIn et appelant le service d’assistance de la socit. Scattered Spider a russi pntrer le systme de Caesars en trompant un employ d’un fournisseur tiers.
ALPHV, un acteur de la menace trs actif, est prsum tre l’origine de nombreuses violations de donnes majeures au cours des dernires annes. travers une nouvelle manuvre, le groupe de ranongiciels ALPHV a dpos une plainte auprs de la Securities and Exchange Commission des tats-Unis l’encontre de la socit de logiciels MeridianLink. Cette plainte reproche MeridianLink de ne pas avoir signal au rgulateur une prtendue violation de donnes cause par les membres du groupe. Cette tactique, rare voire indite, vise exercer une pression sur la victime afin de la pousser payer une ranon.
La Securities and Exchange Commission a approuv de nouvelles rgles obligeant les entreprises cotes en bourse divulguer toute violation de cyberscurit susceptible d’avoir un impact sur leurs rsultats financiers dans un dlai de quatre jours. Des drogations ce dlai seront possibles en cas de risques graves pour la scurit nationale ou publique ncessitant une divulgation diffre. Ces rgles rcemment adoptes par un vote de 3 contre 2 imposent galement aux socits cotes de fournir chaque anne des informations dtailles sur leur gestion des risques lis la cyberscurit, ainsi que sur l’expertise de leurs dirigeants dans ce domaine. L’objectif principal de ces mesures est d’assurer une protection accrue des investisseurs.
Alex Waintraub, expert en gestion de crise cyberntique chez CYGNVS, souligne qu’en dpit des dpenses substantielles des entreprises pour mettre en place des mesures de scurit, les cybercriminels exploitent frquemment des mthodes simples, comme l’ingnierie sociale. C’est incroyable, dclare-t-il, mettant en avant le fait que certaines entreprises investissent parfois des centaines de millions de dollars dans des dispositifs prventifs, de dtection, de protection, et dans la rponse aux alertes des points d’extrmit. Et pourtant, ironiquement, les acteurs malveillants parviennent s’introduire en utilisant des stratgies des plus simples et peu sophistiques, telles que le clic sur un lien et la saisie d’informations d’identification.
Le succs continu de l’ingnierie sociale en tant que tactique dmontre que les humains sont souvent le maillon faible de la chane, dclare Alex Hamerstone, directeur des solutions de conseil chez TrustedSec, une socit de cyberscurit base dans l’Ohio. Si vous concevez une infrastructure informatique rsiliente, le fait d’appeler une personne et d’obtenir un mot de passe, un lien ou quoi que ce soit d’autre ne devrait pas entraner l’effondrement de toute votre entreprise.
Contrairement MGM, Caesars a affirm que ses oprations en contact avec la clientle n’ont pas t perturbes, mais a confirm que la base de donnes du programme de fidlisation Caesars Rewards avait t compromis, incluant des numros de permis de conduire et/ou de scurit sociale. Bien que le montant exact de la ranon verse par Caesars ne soit pas rvl, le document dpos auprs de la SEC mentionne des dpenses lies l’attaque. Les criminels dterminent souvent le montant de la ranon aprs avoir analys les documents financiers de l’entreprise. Alex Waintraub souligne galement des cas o les criminels ont supprim la police d’assurance d’une entreprise de son systme informatique pour viter que la victime ne connaisse les termes de sa propre police.
Caesars a finalement choisi de payer la ranon pour s’assurer que les donnes voles soient supprimes par les cybercriminels. Alex Waintraub estime que Scattered Spider est susceptible de respecter sa promesse, soulignant l’importance de la rputation pour ces groupes. Le FBI recommande de ne pas payer de ranon aux pirates informatiques pour plusieurs raisons :
- payer la ranon encourage les pirates continuer leurs attaques et demander des sommes plus leves ;
- payer la ranon ne garantit pas que les pirates restitueront les donnes ou qu’ils n’ont pas install une porte drobe pour revenir plus tard ;
- payer la ranon finance d’autres activits criminelles, comme le trafic d’armes, de drogues ou d’tres humains ;
- payer la ranon peut exposer les victimes des poursuites judiciaires si elles violent des sanctions ou des lois contre le financement du terrorisme ;
- payer la ranon ne rsout pas le problme de fond, qui est le manque de scurit et de prvention des systmes informatiques.
Le FBI conseille plutt aux victimes de ransomware de signaler immdiatement l’incident, de cooprer avec les autorits, de conserver les preuves et de restaurer leurs systmes partir de sauvegardes fiables. Le FBI dispose galement de capacits techniques pour aider les victimes dchiffrer leurs donnes sans payer la ranon.
L’ide est que si vous continuez leur donner de l’argent, ils continueront agir de la sorte , explique Waintraub. Il arrive qu’une entreprise dtermine que les donnes voles n’taient pas aussi sensibles que le pensait lacteur de la menace. Idalement, il est possible de rtablir l’entreprise sans avoir faciliter un paiement, mais parfois il n’y a pas d’autre moyen de rtablir l’entreprise.
La dcision de payer ou de rsister, les coulisses des dcisions
Si Caesars a choisi de payer la ranon, MGM a dcid de ne pas payer, suivant les conseils du FBI. Nous sommes heureux que tous nos htels et casinos fonctionnent normalement , a indiqu la socit base Las Vegas sur X, la plateforme anciennement connue sous le nom de Twitter. Gregory Moody, professeur et directeur du programme de cyberscurit l’universit du Nevada, Las Vegas, a cit des estimations selon lesquelles l’arrt des ordinateurs a cot la socit jusqu’ 8 millions de dollars par jour, ce qui pourrait porter l’effet cumul 80 millions de dollars. Mais le professeur Moody a galement fait remarquer que MGM Resorts dclare des revenus annuels suprieurs 14 milliards de dollars, ce qui signifierait qu’elle ralise en moyenne au moins 270 millions de dollars de revenus par semaine.
La socit a indiqu que les systmes grant les services de villgiature, la restauration, les divertissements, les piscines et les spas taient oprationnels et que son site web et son application prenaient les rservations de restauration et de spa pendant que la socit travaillait rtablir les fonctions de rservation d’htel et de rcompenses de fidlit. Les proprits de MGM Resorts Las Vegas et dans tout le pays ont repris leurs activits normales , a dclar le porte-parole Brian Ahern l’Associated Press.
Selon les experts, les cybercriminels ont mis en vidence les faiblesses critiques de la cyberscurit chez MGM et Caesars et ont bris l’image d’invulnrabilit des casinos. ce stade, tous les casinos devraient adopter la posture dfensive la plus leve possible et prendre des mesures actives pour vrifier l’intgrit de leurs systmes et de leur environnement, et revoir – voire activer – leurs processus de rponse aux incidents , a dclar Christopher Budd, directeur de la recherche sur les menaces la socit de cyberscurit Sophos X-Ops. Plusieurs casinos ont t attaqus et il est possible que d’autres le soient.
Payer une ranon, c’est comparable dcouper du fromage dans un ascenseur bond, causant des souffrances aux autres , a soulign Brett Callow, analyste des menaces chez Emsisoft. Il explique ainsi que les entreprises qui cdent aux demandes de ranon contribuent perptuer le problme des ranongiciels et exposer d’autres entreprises des attaques similaires. Il affirme que si personne ne payait, le problme des ranongiciels pourrait tre radiqu.
Cependant, en analysant les rsultats des incidents survenus dans les deux casinos, il semble que le choix le plus vident et le moins douloureux soit de verser la ranon. Nanmoins, mme en mettant de ct les dilemmes thiques lis au financement d’organisations criminelles, la situation n’est pas aussi simple qu’il y parat. Brett Callow souligne que les incidents survenus la MGM et chez Caesars ne sont pas directement comparables, car la porte, les systmes touchs, les procdures de sauvegarde, et d’autres facteurs peuvent diffrer. Il met en garde contre l’erreur de supposer que le rtablissement apparemment plus facile de Caesars est attribuable uniquement au paiement de la ranon.
Sources : Statements made to the media by MGM CEO Bill Hornbuckle, SEC, Caesars
Et vous ?
tes-vous pour ou contre le paiement des ranons aux cybercriminels ?
Les entreprises qui cdent aux demandes de ranon contribuent perptuer le problme des ranongiciels et exposer d’autres entreprises des attaques similaires , partagez vous cette ide ?
Que pensez-vous du choix de Caesars de payer la ranon pour s’assurer que les donnes voles soient supprimes par les cybercriminels ?
Voir aussi :