Si identifica come Star Fraud la fazione criminale responsabile dell’attacco informatico alla MGM Resorts, uno dei maggiori operatori nel settore del gioco d’azzardo nel panorama mondiale, operante negli Stati Uniti, che nel settembre 2023 causò interruzioni delle sue attività che si sono protratte per diversi giorni.
L’attacco ha interessato diverse proprietà di rilievo situate a Las Vegas, tra cui il Bellagio, il Cosmopolitan e il Mandalay Bay, insieme ad altri resort gestiti da MGM.
I clienti hanno segnalato una serie di problemi riguardanti le slot machine, i bancomat, le chiavi digitali, i sistemi di pagamento elettronico e le prenotazioni online. Per far fronte alla situazione, l’azienda ha dovuto ricorrere a metodi tradizionali di transazione, utilizzando carta e penna in sostituzione dei sistemi digitali compromessi.
Indice degli argomenti
Chi è e come agisce la cyber gang Star Fraud
Emersa da una vasta comunità online nota come “Com” e sconosciuta fino a pochi anni fa, Star Fraud è ora considerata uno dei principali rischi per la sicurezza informatica negli Stati Uniti.
Gli hacker associati a questa community hanno perpetrato una serie di reati, tra cui furti di milioni di dollari in criptovalute, sfruttamento di adolescenti tramite “sextortion” (una forma di estorsione dietro la minaccia di pubblicare contenuti personali di natura sessuale), impersonificazione di agenti del Federal Bureau of Investigation (FBI) per ottenere informazioni sensibili da aziende come Apple e Meta, nonché minacce di violenza fisica.
Inoltre, hanno compromesso la sicurezza di aziende di alto profilo come Microsoft, Nvidia, Uber e Samsung.
Gli hacker hanno anche acquisito competenze avanzate nello scambio di SIM, una tecnica utilizzata per assumere il controllo del numero di telefono di un individuo. Talvolta, questo è stato realizzato corrompendo i dipendenti delle compagnie telefoniche.
In altri casi, i membri del collettivo hanno ingannato i dipendenti inducendoli a visitare siti web fasulli, dove sono state rubate le credenziali di accesso, oppure li hanno indotti ad installare software malevoli con lo stesso scopo.
Un’altra caratteristica delle azioni del gruppo consiste nel fatto che, una volta verificata l’efficacia di una particolare truffa, questa viene codificata in uno script e condivisa all’interno di gruppi di discussione privati. Tali script hanno agevolato ai membri della più estesa comunità “Com” l’accesso ai conti di criptovaluta e il furto di milioni di dollari.
Le tecniche malevoli di Star Fraud nell’attacco a MGM
Nell’attacco alla MGM, Star Fraud ha sfruttato una vulnerabilità tecnologica spesso difficile da mitigare, ovvero i sistemi di assistenza tecnica utilizzati per il recupero di account online bloccati. Inizialmente, gli hacker hanno ottenuto le informazioni necessarie per impersonare un dipendente della MGM, sfruttando l’ampio accesso ai dati illegalmente acquisiti disponibili sul dark web.
La strategia descritta è comunemente identificata come vishing, abbreviazione di “voice phishing”. Questa tecnica si fonda sull’ingegneria sociale e sulla capacità di impersonare altri individui al fine di indurre le vittime a fornire informazioni riservate o sensibili. L’attaccante si spaccia per personale dell’IT, fornitori o partner affiliati all’organizzazione target, impiegando numeri di telefono fittizi per conferire un’apparenza di autenticità alle chiamate.
Gli hacker hanno finto di essere dipendenti delle aziende target, richiedendo supporto per l’accesso ai propri account. Il team di supporto tecnico, in ottemperanza al protocollo standard, ha proceduto con il reset della password, inconsapevole di aver di fatto agevolato gli attaccanti.
Dopo essersi introdotti nel sistema, gli hacker hanno iniziato a spostarsi tra i vari sistemi informatici, ottenendo livelli di accesso privilegiato, generalmente riservati esclusivamente al personale tecnico. Nonostante i tentativi di MGM di disabilitare gli account compromessi dagli hacker, questi ultimi sono riusciti a ristabilire l’accesso da altre fonti.
La chiusura degli account e la disattivazione della posta elettronica hanno limitato le azioni degli hacker e hanno consentito ai tecnici di ripristinare i sistemi. Quest’ azione ha comportato una serie di difficoltà nelle comunicazioni tra i dipendenti e nel processo di prenotazione online, ma si è resa necessaria per contenere gli impatti.
Successivamente, gli hacker hanno inviato una richiesta di riscatto all’Amministratore Delegato Bill Hornbuckle, affermando di aver implementato un software malevolo che avrebbe paralizzato i sistemi della rete MGM e richiedendo inoltre più di 30 milioni di dollari in cambio delle chiavi crittografiche necessarie per ripristinare le operatività dei sistemi. Tuttavia, l’azienda ha scelto di ignorare le comunicazioni provenienti dagli hacker, che hanno dunque minacciato di ripetere nuovamente l’attacco.
Gli impatti dell’attacco a MGM Resorts
L’azienda, dunque, non si è limitata a ripristinare le parti infette dei sistemi informatici, ma ha dovuto ricostruire interamente migliaia di server, nonostante il costo associato a tale operazione risultasse molto più elevato rispetto alla richiesta di riscatto.
Le normali attività destinate ai clienti di MGM sono riprese sei giorni dopo l’attacco informatico. Tuttavia, l’incidente ha causato alla società una perdita stimata di circa 100 milioni di dollari in mancati ricavi dagli hotel e casinò. Inoltre, MGM ha riportato una spesa straordinaria di circa 10 milioni di dollari per la messa in sicurezza dei sistemi informatici, incluse le consulenze tecniche e le spese legali. Questo costo è stato sostenuto dalla società in seguito all’impiego di un team di esperti per riconfigurare i server compromessi.
Le azioni di MGM Resorts hanno subito un calo del 4,1% in due giorni successivi alla divulgazione dell’attacco informatico. Il prezzo delle azioni è sceso a 41,99 dollari il martedì 12 settembre 2023, rispetto ai 43,79 dollari registrati il venerdì 8 settembre 2023. Successivamente, il valore delle azioni ha iniziato a recuperare parte delle perdite, chiudendo a 42,65 dollari il venerdì 15 settembre 2023.
Come comunicato da MGM Resorts, le informazioni compromesse includono nome, informazioni di contatto, sesso, data di nascita e numero di patente di guida di alcuni clienti che hanno utilizzato i servizi di MGM prima di marzo 2019. Per un numero limitato di clienti, sono stati compromessi anche il numero di previdenza sociale e/o il numero di passaporto. Tuttavia, l’azienda ha dichiarato di non avere evidenze che gli hacker abbiano utilizzato tali dati per commettere furti d’identità o frodi finanziarie.
Nel 2019, la MGM Resorts era già stata vittima di un data breach. Questo incidente ha esposto le informazioni personali di circa 10,6 milioni di clienti, inclusi individui celebri, giornalisti e funzionari governativi. I dati compromessi includevano nomi, numeri di telefono, indirizzi e-mail e date di nascita. Gli hacker hanno successivamente reso pubblici questi dati online, rendendoli accessibili pubblicamente.
Conclusioni
La rapida penetrazione di Star Fraud nei sistemi di MGM ricorda che nessuna organizzazione è al riparo dagli attacchi informatici e sottolinea l’importanza della formazione e della consapevolezza dei dipendenti per mitigare i rischi derivanti dagli attacchi di ingegneria sociale.
Inoltre, l’incidente mette in evidenza gli impatti ingenti del ransomware e la sua capacità di indebolire le organizzazioni, soprattutto quelle con infrastrutture di sicurezza vulnerabili.
La decisione rapida di MGM di disattivare i sistemi critici in risposta a questo incidente dimostra l’importanza di avere un piano di risposta agli incidenti ben strutturato per rilevare, valutare e rispondere in modo appropriato alle minacce informatiche.
