Brand Studio Cromo > Urudata
Ciberataque al MGM: Lo que sucede en Vegas no siempre queda en Vegas
Por. Ing. Claudio López, Gerente de Consultoría
Urudata Ciberseguridad
“Muy buenos días, ¿Hablo con el equipo de soporte informático? ¿Hablo con Erik por casualidad? ¿Sí?, ¿Cómo andas?, si, te habla John Doe, técnico de las máquinas tragamonedas. Mirá, te molesto porque tenemos una urgencia en el salón de jugadores VIP y no puedo ingresar con mi usuario al sistema. Necesito que me reseteen mi contraseña de acceso lo más rápido posible”
Es Setiembre de 2023 y el técnico del Hotel-Casino MGM de Las Vegas que recibió esta llamada (palabras más, palabras menos), desconocerá que al acceder a esa solicitud va a permitir la ocurrencia del mayor ciberataque existente a nivel global en el año.
El 11 de Setiembre, la mega cadena de hoteles MGM de las Vegas, una de las más grandes de la ciudad, ubicadas en el propio Strip, anunciaba públicamente que se encontraba bajo un incidente de desastre informático. Un ciberataque que puso al hotel, y a sus servicios, de rodillas.
Colas inmensas de clientes esperando hacer sus procesos de Check-in y Check-out, los grandes salones de juegos colapsando, huéspedes que no pueden ingresar a sus habitaciones al estar los sistemas de acceso caídos, filas de máquinas tragamonedas fuera de servicio, y empleados recorriendo el casino con fichas y dinero en efectivo para atender las demandas de sus clientes.
El casino ha vuelto a la edad de piedra.
La causa: un ciberataque de enormes proporciones, el cual se ha diseminado por todos los rincones de la megaempresa, infectando y corroyendo todo sistema que toca. Y, para peor, mucha de la información existente ha sido extraída. Es un Ransomware, y de un tipo que nunca se había visto.
¿Cómo puede el mega hotel restablecerse? Bien, tiene dos caminos: o paga el rescate solicitado por los atacantes (se estima una cifra estimada en los 30 millones de dólares) u opta por restablecer cada uno de los sistemas desde la cenizas (lo que lo insumirá en costos posiblemente superiores al solicitado como rescate).
¿Quién es el atacante? Hay tres versiones: La primera es que el autor sería, nada más ni nada menos, que AlphaV, Ex Blackcat, ex Darkside, grupo cibercriminal de origen posiblemente eslavo, que tiene entre sus medallas el haber causado, quizás, el más grande y notorio ciberataque sobre una infraestructura crítica de la historia. El ataque al Oleoducto Colonial Pipeline, en mayo 2021.
La segunda versión indica que el atacante sería el novel sindicato criminal Scattered Spider, compuesto por personas con excelente manejo de inglés (posiblemente su lengua materna).
La tercera, y más probable, es que haya sido un ataque coordinado entre ambas organizaciones, en una modalidad de RaaS: la utilización de mercenarios digitales que analizamos en nuestra columna anterior.
La modalidad de intrusión utilizada para ingresar el Ransomware: una extremadamente refinada técnica de ingeniería social, la modalidad del “cuento del tío” vía llamada telefónica. En la misma se tomó la identidad de un empleado real del casino (el famoso John Doe, ficcionado para esta nota), del cual se obtuvieron todos sus datos personales, como asi de los posibles operadores que lo atendieran, analizando perfiles de Linkedin (red social de profesionales).
Simple y meticuloso ejercicio de inteligencia de fuentes abiertas.
¿Cómo es que finalizó el ataque? Realmente no se tiene certeza. Se sabe sí que el casino se negó a pagar el rescate en un principio, lo que generó el caos detallado en la presente nota, por un período aproximado de una semana, para luego, de manera muy ágil, volver a operar normalmente. Si finalmente se llegó a negociar por un monto menor o no, sólo las autoridades de la empresa lo saben.
Esta situación que llevó a pérdidas financieras enormes (y más aún de imagen) es una clara demostración de la falla de varios de los mecanismos de prevención (fundamentalmente el de no educar a su personal para reconocer una solicitud fraudulenta), detección (no monitorear de forma debida todo el proceso de dispersión del ransomware y extracción de datos) y finalmente respuesta (no poder recuperar las tareas diarias en tiempos debidos).
Es en base a esta clase eventos que las organizaciones deben analizar y aprender, ayer fue MGM, mañana nosotros.
Lo que sucedió en Vegas no debe quedar en Vegas.
