La ciudad del pecado sufrió su mayor ciber ataque, afectando a miles de turistas y locales y quizá perdiendo millones de USD. El grupo de ransomware ALPHV/BlackCat se atribuyó la responsabilidad de una infracción que comenzó, precisamente, en LinkedIn.
Por más de 60 horas, la ciudad del pecado estuvo luchando contra el cyber ataque. Más de 60 horas después de que un masivo ciberataque tuviera como objetivo los sistemas informáticos de una de las cadenas de casinos y hoteles más grandes del mundo, los clientes que intentan acceder al sitio web de MGM Resorts todavía se encuentran con una página de inicio que se disculpa por las molestias.
MGM sufre cyber ataque, afectando al comercio de la ciudad del pecado por más de 60 horas
Entre las 19 propiedades de MGM en Estados Unidos destacan una docena de los hoteles casino más emblemáticos de Las Vegas, incluidos el Bellagio, el Mandalay Bay y el Cosmopolitan.
Desde que se descubrió el ataque el domingo por la noche, ha causado estragos en las operaciones de MGM, obligando a los huéspedes a esperar horas para registrarse y paralizando los pagos electrónicos, tarjetas digitales, máquinas tragamonedas, cajeros automáticos y sistemas de estacionamiento de pago.
El martes por la noche, VX-Underground, un grupo de investigación de malware con casi 229,000 seguidores en X, publicó que el grupo de ransomware como servicio ALPHV, también conocido como BlackCat, se atribuyó la responsabilidad de ejecutar el ataque mediante el uso de ingeniería social para identificarse en LinkedIn. un empleado de MGM que trabajaba en soporte de TI.
El siguiente paso fue simplemente llamar al servicio de asistencia técnica de MGM. Sorprendentemente, el ataque tardó unos 10 minutos en ejecutarse.
MGM es una empresa enorme, pero las pequeñas y medianas empresas se ven afectadas por ransomware innumerables veces por semana y, por lo general, no aparece en las noticias», afirma Alex Hamerstone, director de soluciones de asesoramiento de TrustedSec, una empresa de ciberseguridad con sede en Ohio.
Qué es un ransomware
El ransomware es un cyber ataque que tiene el objetivo de secuestrardatos, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.
Todo lo que hizo el grupo de ransomware ALPHV para comprometer MGM Resorts fue ingresar a LinkedIn, buscar un empleado y luego llamar al servicio de asistencia técnica. Una empresa valorada en $33,900,000.000 USD fue derrotada tras una conversación de 10 minutos.
ALPHV es un actor de sombrero negro muy conocido en la industria de la ciberseguridad, y se cree que es responsable de ataques contra Reddit y Western Digital, entre otros. En abril de 2022, CISA, la agencia de defensa cibernética de Estados Unidos, emitió una alerta basada en un informe rápido del FBI sobre ALPHV, señalando que el grupo criminal había “comprometido al menos 60 entidades en todo el mundo”.
Ni MGM ni el FBI han caracterizado públicamente la naturaleza de la violación, y MGM no ha respondido a las múltiples solicitudes de comentarios de Forbes . El FBI confirmó que estaba involucrado en la investigación en curso.
Si bien no se ha verificado la responsabilidad de ALPHV por el ataque, los expertos en ciberseguridad dicen que VX-Underground es una fuente confiable.
«VX-Underground es muy respetado en la comunidad de ciberseguridad y a menudo habla con actores de amenazas», dice Martin Zugec, director de soluciones técnicas de Bitdefender , una empresa multinacional de ciberseguridad. «Su información suele ser sólida»
Detectan nuevas técnicas del grupo cibercriminal ALPHV/BlackCat que ponen en riesgo a organizaciones y ciudades, como la ciudad del pecado ALPHV/BlackCat, grupo cibercriminal de ransomware como servicio, está desarrollando técnicas maliciosas utilizando palabras clave seleccionadas en páginas web, de organizaciones legítimas, para implementar malware.
En este sentido, usando técnicas de envenenamiento de SEO, ALPHV/BlackCat secuestra palabras clave para mostrar anuncios maliciosos que atraen a los usuarios desprevenidos con la finalidad que descarguen una aplicación clonada que contiene un malware y con ello los delincuentes puedan robar privilegios de administrador, establecer persistencia y tener acceso, vía una puerta trasera, a los sistemas de las víctimas utilizando herramientas de administración remota.
Las organizaciones deben educar a los empleados de forma frecuente y regular, posiblemente mensualmente, y de una manera identificable y fácilmente digerible, sobre las últimas tendencias del panorama de amenazas y cómo prevenirlas. Las organizaciones deben fomentar una cultura de seguridad en la que los empleados estén incentivados a informar posibles intrusiones. mientras capacita a los empleados sobre cómo identificar y responder a ataques creativos de ingeniería social.
El grupo criminal utiliza técnicas de intercambio de SIM y fatiga MFA (spam push de MFA) Simplemente pretender ser soporte de TI, decir que se ha identificado software malicioso en la máquina de la víctima y que se necesita acceso remoto que requiere que el usuario objetivo descargue una herramienta legítima en particular ha funcionado para muchos evaluadores de penetración.
Del cyber ataque contra la ciudad del pecado, empecemos a tomar medidas contra el cyber ataque.