Un cyberattacco, che purtroppo ha avuto effetti su larghissima scala, ha messo in ginocchio il colosso MGM, gruppo proprietario di diversi alberghi di super lusso e casinò a Las Vegas e ad Atlantic City, tra i quali anche il famoso Bellagio, nel quale è stato girato il film Ocean’s Eleven.
Che cosa è successo?
Il 12 settembre 2023, MGM Resorts International, una società che gestisce casinò, hotel e resort in tutto il mondo, ha annunciato di essere stata vittima di un attacco informatico; questo attacco ha colpito i sistemi IT di MGM in 14 proprietà di Las Vegas, causando interruzioni a molteplici servizi e contestualmente violazioni dei dati dei clienti.
Persino le slot machines e le smart card per aprire le porte delle camere degli hotels hanno cessato di funzionare.
Quali dati sono stati violati?
Secondo quanto riferito da MGM, i dati violati includono nomi, indirizzi, numeri di telefono, indirizzi e-mail, numeri di conto e informazioni sulle carte di credito di circa 142 milioni di clienti. I dati delle carte di credito violati erano in formato cifrato, ma questo non significa che siano completamente al sicuro.
Come è successo?
Secondo le notizie aggiornate, il data-breach non ha avuto inizio dalla compromissione di un computer tramite trojan, inviato con messaggio e-mail; molto più banalmente, un hacker del collettivo ALPHV ha contattato il supporto tecnico IT di MGM, simulando di essere un dipendente e richiedendo il reset delle proprie credenziali di accesso.
La verifica della reale identità del dipendente è stata fatta richiedendo informazioni personali generiche che gli hacker avevano precedentemente potuto reperire tramite i profili social correlati al dipendente stesso; pare che il link di reset delle credenziali sia stato inviato ad una e-mail esterna non verificata.
Ottenute le credenziali, il collettivo hacker ha avuto accesso al device in uso al dipendente e quindi alla rete aziendale, iniettando il trojan che ha agito per diversi giorni indisturbato; sembrerebbe che l’obbiettivo primario fossero le slot machines, nel tentativo di accreditarsi vincite in denaro.
In seguito, il collettivo ha ripiegato sulle modalità classiche: ransomware ed esfiltrazione.
La reazione di MGM Resort è stata quella di spegnere l’infrastruttura IT aziendale, onde limitare gli effetti dell’attacco. Si stimano danni diretti per 100 milioni di dollari. I danni derivanti dall’esfiltrazione dei dati dei clienti sono attualmente non quantificabili.
Cosa imparare dal data-breach?
L’evento è certamente un “caso di scuola” e ci sono vari aspetti rilevanti che debbono essere appresi.
Il primo, la scarsa consapevolezza dei dipendenti di MGM che hanno proceduto al reset delle credenziali, e la insicurezza delle procedure correlate.
Il secondo, che la sicurezza non sia tra i primi aspetti di ogni organizzazione, neanche quelle di grandi dimensioni.
Il terzo, che il device di un dipendente possa avere accesso a tutta l’infrastruttura IT aziendale, a partire dalla LAN amministrativa, ai servizi di autenticazione degli ospiti (le card di accesso alle camere), alla rete delle slot machines…
Il quarto, che un malware installato a partire da un device abbia potuto operare sottotraccia, in molti ambiti IT del colosso MGM, per un lasso di tempo di una settimana, senza che il team IT ne abbia avuto percezione.
Una prima misura che ci sentiamo di consigliare – specialmente per quei dipendenti che svolgono la loro attività da remoto e che quindi non sono oggetto di controlli fisici agli ingressi – è l’adozione di strumenti di autenticazione a doppio fattore (2FA). Di certo questo avrebbe impedito il reset delle credenziali da parte degli hacker (in caso di dispositivo 2FA, la procedura di reset delle credenziali dovrebbe essere configurata per essere svolta solo con l’inserimento del secondo fattore di autenticazione, di norma il token temporaneo oppure OTP).