Ciberataques contra MGM Resorts International y Caesars Entertainment ES
¡Hola lectores!
En el artículo de hoy os traemos un análisis del incidente que ocurrió el pasado 10 de septiembre debido a un ciberataque de elevadas dimensiones contra la entidad MGM Resorts International, un grupo empresarial con sede en Estados Unidos dedicado al sector de la hostelería y el entretenimiento y responsable de la gestión de casinos, hoteles y espectáculos en todo el mundo. El grupo de ciberdelincuentes que ha reivindicado su autoría ha sido el conocido grupo de ransomware vinculado al estado ruso BlackCat; aunque todos los indicios apuntan hacia una hipótesis según la cual dicha intrusión habría sido desarrollada por uno de sus presuntos afiliados, Scattered Spider.
Para lograr obtener el acceso inicial a los sistemas objetivo, en esta ocasión los atacantes habrían llevado a cabo una campaña de vishing en la que habrían suplantado la identidad de empleados de la organización, a los que previamente investigaron a través de la red social LinkedIn, para posteriormente ponerse en contacto con los servicios de asistencia técnicos con la finalidad de obtener el restablecimiento de contraseñas y códigos multifactor.
Tras haber logrado este acceso inicial, los atacantes adquirieron privilegios de superadministrador en el entorno Okta de MGM y privilegios de administrador en Azure, después de lo cual trataron de contactar con la organización afectada con fines de extorsión económica. Al fallar en este intento de contacto inicial, decidieron ejecutar ciberataques de ransomware contra más de 100 hipervisores ESXi en su entorno, causando de este modo la indisponibilidad de servicios esenciales para la entidad, incluyendo su sitio web principal, la aplicación MGM Rewards, reservas en línea y servicios del casino, afectando a su infraestructura digital en más de sus 30 hoteles; adicionalmente, cabe destacar que numerosos usuarios reportaron haber experimentado incidencias con las tarjetas de acceso a las habitaciones, un problema que parece persistir días después. Por último, los actores responsables del incidente amenazaron con hacer uso de tácticas de triple extorsión al asegurar que poseían la capacidad de extraer información relevante y de exponerla de manera pública, así como de desarrollar acciones adicionales contra la infraestructura aprovechándose de su acceso actual.
Pocos días antes, el pasado 7 de septiembre, se habría llevado a cabo otro ciberataque contra el que es considerado el principal competidor empresarial de MGM Resorts International, la entidad Caesars Entertainment, un grupo ubicado también en Estados Unidos y que, al igual que MGM Resorts, también está dedicado al sector de la hostelería y el entretenimiento, gestionando casinos, hoteles y campos de golf a nivel mundial. Del mismo modo que en el caso expuesto previamente, dicho ciberataque ha sido atribuido por los investigadores al grupo de ransomware BlackCat y a su afiliado, Scattered Spider, aunque por el momento su autoría no ha sido reivindicada por ninguno de ellos.
En esta ocasión, el acceso inicial a los sistemas se habría logrado a través del compromiso de uno de sus proveedores de tecnologías de la información (IT), lo que dentro de ciberseguridad es comúnmente conocido como un ataque de Island Hopping, donde los ciberdelincuentes se aprovechan de la, por normal general, inferior seguridad que poseen los proveedores relacionados con la cadena de suministro para lograr acceder a los sistemas de la empresa objetivo. Además, los ciberataques contra la cadena de suministro, por lo general, provocan un efecto dominó que permite afectar a una gran cantidad de empresas con las que el proveedor mantiene algún tipo de acuerdo contractual y a las que, por tanto, proporciona distintos tipos de servicios.
Una vez logrado el acceso inicial, los actores de la amenaza habrían conseguido acceder a una base de datos del programa de afiliación de la entidad, donde se encargaron de recopilar información sensible que incluía permisos de conducir e identificadores de la seguridad social, por la que, inicialmente, habrían solicitado un pago que ascendía a los 30 millones de dólares. Tras haber desarrollado una negociación con Caesars Entertainment, las investigaciones han apuntado a que la víctima habría decidido abonar a los atacantes un pago de 15 millones de dólares a cambio de que el grupo de ransomware no hiciera pública la información comprometida.
De manera concreta, cabe señalar que la empresa IT que fue vulnerada y desde la cual se realizó el ataque de Island Hopping en el que se recopilaron credenciales vinculadas con sus clientes fue Okta, una entidad estadounidense con sede en San Francisco. De acuerdo con las investigaciones desarrolladas, podría haber más de 500 empresas afectadas en este ataque gracias al uso de técnicas de ingeniería social que se habrían utilizado contra los clientes de la organización, aunque, por el momento, sólo se habría confirmado la identidad de cinco de ellas, siendo dos de ellas MGM Resorts International y Caesars Entertainment.
ACTORES IMPLICADOS
BlackCat, también conocido como ALPHV o Noberus, es un actor de ransomware vinculado al estado ruso cuya carga útil está escrita en el lenguaje de programación Rust y cuya actividad inicial se remonta al mes de noviembre de 2021. Es uno de los múltiples grupos de ransomware que opera bajo el modelo de negocio de Ransomware as a Service (RaaS), ofertando a otros atacantes acceso a su infraestructura y a su código a cambio de obtener una parte del rescate exigido a las víctimas de los ciberataques perpetrados.
En esta ocasión, BlackCat ha sido la única organización que, por el momento, ha reivindicado el ciberataque llevado a cabo contra la entidad MGM Resort International al hacerlo público a través de su sitio web alojado en Deep Web; aunque, según apuntan los investigadores, el grupo Scattered Spider, afiliado de BlackCat, podría haber sido el responsable de dicha intrusión. En cualquier caso, este segundo actor no es mencionado por BlackCat en el comunicado, de acuerdo con la siguiente imagen.
Así mismo, cabe destacar que, durante su trayectoria, BlackCat ha apuntado con sus ataques a múltiples y diversos objetivos entre los que se encuentran infraestructuras críticas, como empresas petroleras o de gas, entidades dedicadas a la construcción y a la minería y organizaciones pertenecientes al sector financiero, legal o de telecomunicaciones, entre otras. Respecto al vector de ataque inicial que suelen utilizar, se debe señalar que los miembros de BlackCat suelen hacer uso de vulnerabilidades presentes en los sistemas objetivo a través de las cuales logran acceso inicial y establecer persistencia en los dispositivos. Del mismo modo, en algunas ocasiones también se han identificado campañas de spearphishing que han logrado vulnerar los sistemas de las víctimas.
En lo que respecta a Scattered Spider, también conocido como Oktapus, UNC3944, Muddled Libra o Scatter Swine, es un conocido grupo cibercriminal, supuestamente afiliado a BlackCat a raíz de su modelo de negocio de RaaS, cuyos primeros ataques se remontarían a mayo del 2022. Una de sus campañas más conocidas fue la desarrollada en enero de 2023 contra empresas de telecomunicaciones en la que utilizó la técnica de intercambio de tarjetas SIM o SIM Swapping para obtener acceso a las redes de las entidades objetivo.
De manera concreta, cabe destacar que durante su trayectoria ha apuntado a objetivos pertenecientes al sector financiero, de transportes, de comunicaciones o proveedores de servicios, entre otros. En todos sus ataques, se les ha atribuido una motivación principalmente financiera. Cabe señalar que este grupo de ciberdelincuentes suele lograr el acceso inicial a los sistemas objetivo a través de credenciales previamente obtenidas en campañas de phishing distribuidas por mensajes SMS. Así mismo, también se les ha identificado haciendo uso de Azure Serial Controle para obtener acceso a la consola administrativa de las máquinas virtuales. Respecto a los códigos dañinos más utilizados durante sus campañas, han destacado STONESTOP, BURNTCIGAR y POORTRY. Por último, se debe destacar que diversos investigadores los han llegado a asociar con otros conocidos grupos de ransomware como Cuba, el cual se distribuye a través de campañas fraudulentas de correo electrónico o a través del malware Hancitor.
En este caso, aunque son múltiples las hipótesis que señalan que Scattered Spider sería el grupo responsable de los ataques perpetrados contra MGM Resorts International y Caesars Entertainment haciendo uso de la infraestructura y recursos de BlackCat, por el momento, no ha realizado ningún tipo de reivindicación sobre su autoría.
CONCLUSIONES
De acuerdo con la información expuesta anteriormente, aunque por el momento únicamente el grupo BlackCat ha reivindicado el ciberataque perpetrado contra MGM Resorts International, debido a su modelo de negocio de Ransomware as a Service, existe una alta probabilidad de que un segundo grupo afiliado, conocido como Scattered Spider, haya sido el responsable directo del compromiso.
Así mismo, resulta probable que, aunque por el momento sólo se hayan hecho públicas dos de las entidades afectadas tras el ataque contra la empresa Okta, el número de organizaciones afectadas cuya información sensible pueda haberse visto comprometida vaya aumentando a medida que avanza la investigación por parte de las autoridades y de las propias empresas relacionadas con la proveedora de servicios IT. Además, los incidentes reseñados en la presente investigación evidencian el éxito que continúa teniendo la ingeniería social en el presente, lo que permite considerar que el eslabón más débil de la cadena de seguridad continúa siendo el usuario en la actualidad. Es por este motivo por el cual resulta factible considerar que esta táctica continuará constituyendo el motor principal de toda clase de ciberamenazas en el futuro. Así mismo, resulta plausible considerar que la cadena de suministro pueda continuar constituyendo un objetivo predilecto de estos actores próximamente, dada su menor securización en líneas generales, la posibilidad de afectar a otra gran cantidad de empresas gracias al efecto dominó y la posibilidad de realizar Island Hopping hacia otros objetivos de mayor interés para ellos.
Por último, cabe destacar que abonar el pago exigido por los ciberdelincuentes tras un ataque de ransomware, como ha sucedido presuntamente en el ciberataque contra Caesars Entertainment, no garantiza en ningún caso que la información sensible que se haya podido ver comprometida durante la presunta intrusión no llegue a ser publicada de igual manera por los responsables del incidente o utilizada por el actor o terceros vinculados con fines malintencionados. Por su parte, teniendo en cuenta que el ciberataque a MGM Resorts International ya ha sido reivindicado, existe la posibilidad de que los actores vinculados con la acción incrementen la presión sobre la entidad atacada para que opte por el pago del rescate, dado que éstos ya han insinuado la posibilidad de ahondar en el compromiso mediante doble (fuga de datos) y triple extorsión (campaña DDoS).
RECOMENDACIONES
A continuación, se incluye una serie de recomendaciones dirigidas a prevenir y a minimizar el impacto que pudiese ocasionar un ciberataque de esta índole:
- Teniendo en cuenta que una gran parte de los ciberataques de ransomware comienzan empleando como vector de ataque inicial diversas tácticas relacionadas con la ingeniería social, se recomienda a las organizaciones programar campañas de información relativas a los ciberataques de ransomware, con la finalidad de concienciar a los usuarios del riesgo de descargar o ejecutar archivos vinculados a enlaces sospechosos o adjuntos a mensajes de correo provenientes de fuentes desconocidas y que no sean de confianza.
- Considerando que otro de los vectores de acceso más habituales por parte de los actores de ransomware es la explotación de vulnerabilidades, es recomendable contar con un listado del software utilizado por las organizaciones y revisar diariamente las vulnerabilidades que afectan a cada uno de los sistemas, herramientas y aplicaciones utilizados por la entidad, con la finalidad de instalar de manera temprana las actualizaciones de seguridad que se desarrollen o aplicar las medidas de mitigación correspondientes. Se debe realizar un correcto bastionado de los sistemas de la organización, de todos sus servidores, elementos de red o cualesquiera otros dispositivos perforados en la red interna o externa de la entidad, configurando los servicios y aplicaciones (aplicaciones web, directorios activos, etcétera) que utiliza correctamente, de manera que no expongan información involuntariamente que fuese susceptible de ser interceptada por potenciales ciberatacantes.
- Así mismo, se recomienda a los empleados no compartir datos personales sensibles o corporativos en sus redes sociales y que permitiesen vincularles de algún modo con la organización, pues podrían ser utilizados para diseñar campañas de ciberataques a medida.
- Además, segmentar y cifrar los sistemas corporativos son buenas prácticas de ciberseguridad para prevenir ciberataques de este tipo, dado que permiten disminuir la capacidad de compromiso de las organizaciones empresariales.
- Por último, para incrementar la seguridad de los accesos que se efectúen por los empleados de la organización a sus sistemas corporativos, resulta altamente recomendable implementar mecanismos de autenticación multifactor (MFA), especialmente en aquellos formularios de acceso a activos de la entidad que fueran considerados críticos o de alto impacto. En este sentido, también se recomienda implantar protocolos de cifrado del tipo clave pública y clave privada en el intercambio de información sensible. Así mismo, es recomendable configurar credenciales robustas (con ocho o más caracteres, letras mayúsculas y minúsculas, números y caracteres especiales, que no estén asociadas a datos personales) y modificarlas cada cierto tiempo, siendo recomendable hacerlo en lapsos de entre uno y tres meses. En relación con este punto, también es recomendable cambiar siempre las credenciales configuradas por defecto siguiendo el estándar señalado en este párrafo.
Y hasta aquí la entrada de hoy. Esperamos que os haya sido útil y que os haya gustado, ¡hasta la próxima!
Raquel Puebla González e Itxaso Reboleiro Torca, Analistas de Ciberinteligencia en Entelgy Innotec Security
