Un conglomerado delictivo especializado en ciberataques, que utiliza técnicas de phishing y malware, está en el punto de mira como el principal artífice del asalto cibernético que interrumpió las operaciones de MGM Resorts.
MGM Resorts se erige como un coloso en la industria de la hospitalidad, dueño de una amplia gama de hoteles y casinos prominentes en Las Vegas, además de poseer distinguidas propiedades a lo largo de todo el territorio estadounidense, entre las que destacan Mandalay Bay, Bellagio, Cosmopolitan y Aria.
Ante el severo quebrantamiento de seguridad, MGM Resorts se vio forzado a suspender gran parte de su infraestructura de red interna, originando un escenario de descontrol y confusión considerable. Este colapso tecnológico derivó en la lentitud de las transacciones electrónicas de pagos y en la desactivación de los sistemas de acceso a innumerables habitaciones hoteleras.
Curiosamente, este ataque se perpetró exactamente un mes después de la celebración de la conferencia de hackers DEFCON, un evento que tuvo lugar en las instalaciones de Mandalay Bay.
El pasado 10 de septiembre de 2023, los complejos de MGM Resorts sufrieron un ciberataque que se ha adjudicado el colectivo de ciberdelincuentes conocido como "Scattered Spider". De acuerdo con las investigaciones, el método de infiltración involucró la exploración de perfiles de empleados en LinkedIn, para luego suplantar la identidad del equipo de asistencia técnica de TI de la compañía.
Este asalto digital repercutió considerablemente en las operaciones del conglomerado, causando trastornos sustanciales en su extensa red que engloba más de 30 hoteles y casinos alrededor del mundo, perturbaciones que se extendieron durante una duración significativa.
En un desarrollo adicional, se ha revelado que "Scattered Spider" opera bajo el amparo del entramado de ransomware BlackCat/ALPHV, relación confirmada cuando este último aceptó públicamente, a través de un comunicado detallado en su página web, haber perpetrado la invasión a los sistemas de MGM Resorts.
El grupo delictivo sostuvo que consiguieron infiltrarse en las plataformas Okta y Azure de MGM Resorts desde el 8 de septiembre de 2023, logrando derechos de administración que les permitieron tener un acceso profundo y extenso a los diversos sistemas que rigen las operaciones de la corporación.
Te podría interesar leer: BlackCat: Desvelando los Métodos del Hackeo a Caja Popular Mexicana
Además de MGM Resorts, Caesars Entertainment también fue blanco de la delincuencia cibernética orquestada por Scattered Spider, quienes habrían conseguido una cuantiosa suma como rescate. Los embates iniciaron con Caesars Entertainment a finales de agosto, con MGM Resorts sucediendo como la próxima víctima.
Aunque circulan rumores no corroborados de que el rescate pagado por Caesars Entertainment se cifra en 30 millones de dólares, hasta el momento no hay confirmación oficial sobre el monto exacto abonado.
Ambas empresas, Caesars Entertainment y MGM Resorts, efectuaron reportes pertinentes ante la Comisión de Bolsa y Seguridad (SEC) tras sufrir los ciberataques. En una comunicación fechada el 14 de septiembre, Caesars Entertainment admitió ante la SEC la sustracción no autorizada de su base de datos del programa de lealtad el 7 de septiembre, la cual contenía detalles sensibles como números de Seguro Social (SSN) y licencias de conducir de muchos de sus miembros.
A diferencia de MGM Resorts, que sigue enfrentándose a problemas en su sistema, Caesars notificó a la SEC que las operaciones orientadas al cliente, incluyendo las instalaciones físicas y aplicaciones de juegos online, permanecen intactas y en funcionamiento.
El colectivo “Scattered Spider”, también identificado como Roasted 0ktapus o UNC3944, emerge como un nuevo actor en la escena del ransomware, conformado presuntamente por hackers basados en EE.UU. y el Reino Unido.
Información divulgada por CrowdStrike ilustra que el grupo se vale de estrategias de phishing y manipulación social para hacerse con códigos OTP (contraseñas de un solo uso). Además, recurren a la explotación del cansancio generado por las notificaciones de autenticación multifactorial (MFA).
Para ejecutar sus planes, Scattered Spider se dedica a recolectar datos desde perfiles en redes sociales, y más adelante efectúan llamadas telefónicas engañosas dirigidas a empleados y equipos de soporte técnico para sustraer credenciales de acceso.
Al hacerse con las credenciales, el grupo evita el empleo de malware típico, optando por utilizar herramientas legítimas de administración remota para mantener un acceso duradero a los sistemas.
Un informe revela que una reciente estratagema de phishing del grupo comprometió cerca de 9,931 cuentas en más de 136 empresas reconocidas, como Riot Games, Reddit, Twilio y Cloudflare. Las técnicas empleadas han sido consistentes en los asaltos a MGM y otras múltiples corporaciones occidentales, teniendo como finalidad obtener lucrativos pagos de rescate.
En un mundo donde las amenazas cibernéticas están en constante evolución, la prevención es tu arma más poderosa. En TecnetOne, estamos aquí para equiparte con la inteligencia necesaria para estar siempre un paso adelante de los actores malintencionados.
Beneficios de elegir TecnetOne: