Chi ha colpito i Casinò di Las Vegas? Giallo attorno a BlackCat e Scattered Spider

Chiara Nardini : 16 Settembre 2023 09:59

Due gruppi criminali ransomware sono stati recentemente collegati ad attacchi contro due importanti operatori di hotel e casinò di Las Vegas, costringendo uno di loro a lottare per riottenere l’accesso ai propri sistemi e l’altro a pagare un riscatto multimilionario.

Non è chiaro con certezza chi ci sia esattamente dietro gli attacchi a MGM Resorts e Caesars Entertainment, ma sono sicuramente coinvolti due gruppi di hacker: ALPHV (aka BlackCat) e Scattered Spider (aka UNC3944).

Una persona che affermava di essere un membro di Scattered Spider ha contattato CyberScoop e ha affermato che il suo gruppo era responsabile dell’attacco alla MGM, ma ha negato la responsabilità dell’hacking di Caesars.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

A sua volta, anche il gruppo ALPHV ha successivamente rivendicato l’attacco alla MGM, pubblicando una dichiarazione sul suo sito di fuga di informazioni.

Un rappresentante di Scattered Spider ha detto a CyberScoop che il loro gruppo è in realtà un sottogruppo/affiliato di ALPHV. È difficile giudicare se queste informazioni siano affidabili, perché ALPHV non ha menzionato alcun gruppo affiliato nella sua dichiarazione pubblicata da un ricercatore di sicurezza indipendente su GitHub.

Se con l’attacco alla MGM Resorts tutto è diventato più o meno chiaro, non è ancora chiaro chi abbia attaccato la Caesars Entertainment. In precedenza, fonti vicine all’incidente avevano affermato che anche questa era opera di Scattered Spider, ma perché allora un rappresentante di questo gruppo, in comunicazione con CyberScoop, ha rinnegato l’incidente?

Giovedì, in un documento, Caesars ha confermato di aver identificato “attività sospette sulla sua rete derivanti da un attacco di ingegneria sociale contro un fornitore di supporto IT in outsourcing”.

Secondo l’azienda, gli aggressori hanno ottenuto una copia del database del programma fedeltà, che includeva i numeri di patente di guida e/o i numeri di previdenza sociale di un numero significativo di partecipanti al database.

Caesars ha affermato di aver fatto ogni sforzo per garantire che i dati rubati venissero cancellati, sebbene la società non possa garantirlo. Molto probabilmente si tratta del pagamento di un riscatto.

Né Caesars né MGM hanno risposto a molteplici richieste di commento. L’FBI ha riconosciuto che stava indagando su entrambi gli incidenti, ma ha anche rifiutato di commentare ulteriormente.

Al 15 settembre, il sito web della MGM era inattivo. Oggi risulta online, ma presenta nella home page un messaggio che riassume la situazione. Potrebbe essere improbabile che la MGM abbia trasferito il riscatto agli aggressori, come ha fatto Caesars.

Nel frattempo, la MGM potrebbe ancora cambiare idea, poiché un membro di Scattered Spider che ha parlato con CyberScoop ha affermato che le trattative con la MGM sono ancora in corso. L’uomo ha affermato che i dati rubati includevano informazioni sui clienti, segnalazioni di aggressioni sessuali e altri documenti aziendali. Ancora una volta, se questa informazione è vera.

Indipendentemente da chi sia stato effettivamente responsabile di entrambi gli incidenti, sarebbe insensato negare che entrambi i gruppi siano entità esperte con una ricca storia di attacchi di estorsione.

Secondo un’analisi della società di sicurezza informatica Trellix, il gruppo Scattered Spider è attivo dal maggio 2022 e fino a poco tempo fa prendeva di mira principalmente organizzazioni coinvolte nelle telecomunicazioni e nell’outsourcing dei processi aziendali, per poi iniziare a prendere di mira altri settori, comprese le infrastrutture critiche. ALPHV è diventato noto anche prima e appare costantemente in numerosi attacchi.

Charles Carmakal, CTO di Mandiant, ha definito Scattered Spider “una delle bande di criminali informatici più diffuse e aggressive che colpiscono le organizzazioni oggi negli Stati Uniti”.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli