Las Vegas, 12 settembre 2023. La MGM Resorts, azienda che possiede diversi alberghi e casinò a Las Vegas e in altre città della nazione, ha annunciato di essere sotto attacco hacker. Un attacco che ha minato i sistemi di prenotazione, le chiavi elettroniche delle camere, i bancomat e gran parte delle slot machine.
Un episodio che il gigante degli alberghi e dei casinò ha gestito male, permettendo al collettivo Scattered Spider di fare il bello e il cattivo tempo e rilasciando informazioni poco puntuali, tese a minimizzare l’accaduto senza assumersene le evidenti responsabilità.
Ci sono diversi modi di narrare i fatti, ma assolvere un gigante che si è fatto trovare impreparato getta discredito sulla cultura della cyber security che parte dalla consapevolezza del rischio, del tutto assente nell’episodio che mette MGM Resorts al centro.
Un episodio che abbiamo approfondito con Paolo Dal Checco, consulente informatico forense.
BlackCat: il nuovo ransomware che spaventa per la sofisticata professionalità
Indice degli argomenti
Cosa è successo a MGM Resorts
Per mettere in ginocchio MGM Resorts è bastata una telefonata. Gli hacker hanno contattato l’helpdesk dell’azienda simulando di essere un dipendente e chiedendo al supporto di resettare la password del suo profilo utente.
L’helpdesk stabilisce l’identità dell’utente che telefona mediante informazioni facilmente reperibili sui profili social quali, per esempio, nome, cognome e data di nascita.
Da qui gli hacker sono entrati nella rete aziendale iniettando e lanciando un malware che ha agito indisturbato almeno per una settimana. La reazione di MGM Resorts è stata quella di spegnere l’infrastruttura aziendale nel tentativo di limitare la portata dell’attacco. Il resto è storia: disservizi, slot machine inutilizzabili, prenotazioni e pagamenti online disattivate, ospiti chiusi fuori dalle rispettive camere.
A corredo, un’aggravante: ALPHV è un collettivo hacker molto attivo, al quale viene addebitato il 9% delle minacce RaaS note e documentate. Non è un gruppo sotterraneo che agisce per la prima volta e le imprese, soprattutto i colossi, dovrebbero conoscerne storia e opere, anche al fine di prevenire le modalità con cui il collettivo agisce.
Un’altra aggravante: alcuni giorni prima la Caesars Entertainment Inc. è stata oggetto di un attacco simile e, a differenza di MGM Resorts, ha accettato di pagare un riscatto milionario (30 milioni di dollari, secondo alcune fonti). Questo campanello d’allarme è stato ignorato – o comunque non opportunamente valutato – da MGM Resorts. Non ci sono alibi: la cyber security parte dalla consapevolezza dei rischi a cui si è esposti. Gli hacker attaccano le imprese e i comparti in cui circolano quattrini, ulteriore aggravante a danno di MGM Resorts.
Il punto di vista degli specialisti
Per Sergey Shykevich, threat intelligence group manager di Check Point Research: “Il modello del ransomware as a service (RaaS) continua ad avere molto successo, combinando una forte infrastruttura tecnologica per gli attacchi, con affiliati esperti e sofisticati che trovano il modo di penetrare nelle grandi aziende. Possiamo solo fare ipotesi su quale possa essere la loro prossima mossa, ma sappiamo che gruppi organizzati come ALPHV non temono di pubblicare dati se le loro richieste non vengono soddisfatte. Indipendentemente dalla loro decisione, MGM dovrebbe tenere informati gli ospiti e i visitatori dell’hotel sulle informazioni ottenute. Invitiamo tutte le aziende a monitorare regolarmente i propri controlli di accesso e ad assicurarsi di avere in atto processi di sicurezza end-to-end”.
Dal Checco arricchisce il contesto: “Quanto accaduto non fa che confermare come il punto debole sia sempre più spesso l’essere umano, che tramite tecniche di social engineering (banalmente tecniche di persuasione e circuizione, come sono sempre esistiti da millenni…) mette in essere comportamenti che permettono agli attaccanti di avere accesso a dati e sistemi. Troviamo ormai in letteratura numerosi attacchi portati a termine grazie all’intervento inconsapevole (o talvolta consapevole) di personale interno e persino alcuni sventati ma che avrebbero potuto avere esiti disastrosi, come quello durante il quale è emerso che un dipendente Tesla era stato contattato da criminali disposti a pagare un milione di euro per la sua collaborazione nell’aprire l’accesso alla rete e permettere l’ingresso di un ransomware.
La fragilità e i rimedi
Il caso MGM Resorts è da manuale anche perché mostra una fragilità di rilievo: le procedure attuate dall’help desk hanno palesato la debolezza di tutta l’azienda e, a prescindere dalle tecnologie di difesa usate, in assenza di una consapevolezza puntuale del rischio, gli hacker hanno vita più facile.
I rimedi sono individuati da Paolo Dal Checco: “Le soluzioni sono di tre tipi: formazione, segregazione e rilevamento.
La formazione è sempre più strategica, dato che il personale formato è in grado di capire quando le richieste che arrivano paiono eccedere la ragionevole operatività: per esempio, mi è capitato che mi venisse chiesto da clienti se fosse normale che il loro provider, per avere assistenza, chiedesse il nome utente e la password.
La segregazione, invece, è una modalità tecnica con la quale si separano le aree in modo che la contaminazione di una non comprometta le altre. Si tratta poi dell’ormai vetusto concetto di DMZ, cioè zona demilitarizzata, esteso a tutte le zone in modo che ogni soggetto possa agire con il numero minore di privilegi possibile, sufficienti ovviamente a permettergli di fare il proprio lavoro. Questo vale sia dal punto di vista dei permessi operativi (per esempio la possibilità di installare e utilizzare applicazioni) sia dei permessi di accesso (per esempio, l’utente deve poter accedere alla sua area, a quelle condivise con il suo gruppo ma non alle altre).
Chiaramente, la questione diventa più complessa quando l’utente è un Amministratore, non è escluso infatti che nel tipo di attacchi come quello in parola, il soggetto circuito possa aver avuto maggiori privilegi rispetto ai colleghi e quindi più possibilità di fare danni.
Il rilevamento, infine, è la soluzione che permette di subentrare alle carenze delle prime due misure e può essere declinato in diverse maniere: rilevamento euristico, di anomalie, analisi dei log, analisi a campione, eccetera. il punto è che è opportuno che vi siano sistemi in grado di comprendere quando sta avvenendo qualcosa di problematico e segnalarlo e impedirlo.
Ovviamente, la quarta soluzione, che ormai va data per scontata, è dotarsi di sistemi di business continuity, disaster recovery, backup e procedure d’incident response tali che se tutte le contromisure precedenti hanno fallito, l’azienda è in grado comunque di ripristinare in breve tempo le funzionalità operative, anche in modo graduale, così da non lasciare a piedi i clienti”.
