Cinque giorni dopo che un attacco hacker ha paralizzato le operazioni di MGM Resorts International, compresi alcuni casinò-hotel di Las Vegas come il Bellagio e l’MGM Grand, la società ha dichiarato di essere ancora al lavoro per risolvere i problemi. Gli hacker hanno colpito MGM Resorts domenica mattina, rendendo inutilizzabili le porte dei casinò e degli hotel della catena. Anche le slot machine e i bancomat erano inutilizzabili, gli ascensori erano fuori uso e i clienti hanno dovuto aspettare ore per fare il check-in delle camere. Lo stesso sito web dell’azienda è rimasto inattivo.

MGM Resorts ha riconosciuto l’attacco, ma non ha rilasciato alcun dettaglio su come si sia verificato o su chi possa essere il responsabile. L’azienda ha dichiarato di aver “preso provvedimenti tempestivi per proteggere il nostro sistema e i nostri dati, compreso lo spegnimento di alcuni sistemi”. L’FBI ha dichiarato che sta indagando sull’attacco e che è in contatto con la catena di resort da domenica. La Cybersecurity and Infrastructure Security Agency, che fa parte del Dipartimento di Sicurezza Nazionale degli Stati Uniti, ha annunciato di essere in contatto con MGM Resorts “per comprendere l’impatto del loro recente incidente informatico”. Il governatore del Nevada Joe Lombardo e il Nevada Gaming Board hanno rilasciato una dichiarazione congiunta, affermando che stanno “monitorando l’incidente di cybersicurezza con MGM Resorts e sono in comunicazione con i dirigenti dell’azienda”.

VX-Underground, un gruppo di ricerca che vanta la più grande raccolta di codici sorgente, campioni e documenti di malware su Internet, ha scritto su X che il gruppo di ransomware “ALPHV”, noto anche come Black Cat, sarebbe dietro l’attacco, anche se le autorità non hanno confermato la notizia. “Tutto ciò che il gruppo ransomware ALPHV ha fatto per compromettere MGM Resorts è stato andare su LinkedIn, trovare un dipendente e chiamare l’Help Desk. Un’azienda dal valore di 33.900.000.000 dollari è stata bucata con una conversazione di 10 minuti”, si legge nel post di VX-Underground.

hacker las vegas

Charles Carmakal, CTO di Mandiant Consulting, ha fornito un commento in merito a questo e ad altri attacchi subiti da diverse aziende nel settore ospitalità/intrattenimento nel corso delle ultime settimane.

UNC3944 (conosciuto anche come Scattered Spider) è una delle minacce più diffuse e aggressive che oggi colpiscono le organizzazioni statunitensi. Di recente ha attirato l’attenzione per aver preso di mira organizzazioni del settore dell’ospitalità e dell’intrattenimento. Sebbene i membri del gruppo siano meno esperti e più giovani di molti gruppi che effettuano attività di estorsione/ransomware e di spionaggio Nation-State, rappresentano comunque una seria minaccia per le grandi organizzazioni degli Stati Uniti. Molti dei loro membri sono di madrelingua inglese e sono ingegneri sociali incredibilmente efficaci. Sono pericolosi e aggressivi. Causano interruzioni informatiche in differenti modi che non comportano necessariamente la distribuzione di ransomware encryptor. Tuttavia, negli ultimi mesi, li abbiamo visti impiegare encryptor Black Cat in un sottoinsieme degli ambienti delle vittime che hanno compromesso. Molte organizzazioni, anche quelle con programmi di sicurezza maturi, faticano a contrastare questo genere di attacchi”.

Lo stesso gruppo di ransomware, secondo Bloomberg News, è responsabile di un altro attacco informatico avvenuto sempre questo mese ai danni di Caesars Entertainment Inc, che ha pagato “milioni di dollari” per riavere indietro i suoi dati, tra cui i numeri di patente di guida e di previdenza sociale di un ingente numero di clienti. Caesars Entertainment, che gestisce più di 50 resort tra cui il Caesars Palace e l’Harrah’s di Las Vegas, ha ammesso che l’attacco è avvenuto il 7 settembre in un documento depositato giovedì presso la Securities Exchange Commission (SEC).

“Caesars Entertainment Inc. ha recentemente identificato un’attività sospetta nella sua rete informatica derivante da un attacco di ingegneria sociale a un fornitore di supporto informatico in outsourcing utilizzato dalla Società”, si legge nel documento. L’azienda ha dichiarato di non aver pagato un riscatto, ma ha fatto notare che “abbiamo sostenuto, e potremmo continuare a sostenere, alcune spese relative a questo attacco, incluse le spese per rispondere, rimediare e indagare sulla questione”.