Chi ha colpito i Casinò di Las Vegas? Giallo attorno a BlackCat e Scattered Spider

Chiara Nardini : 16 Settembre 2023 09:59

Due gruppi criminali ransomware sono stati recentemente collegati ad attacchi contro due importanti operatori di hotel e casinò di Las Vegas, costringendo uno di loro a lottare per riottenere l’accesso ai propri sistemi e l’altro a pagare un riscatto multimilionario.

Non è chiaro con certezza chi ci sia esattamente dietro gli attacchi a MGM Resorts e Caesars Entertainment, ma sono sicuramente coinvolti due gruppi di hacker: ALPHV (aka BlackCat) e Scattered Spider (aka UNC3944).

Una persona che affermava di essere un membro di Scattered Spider ha contattato CyberScoop e ha affermato che il suo gruppo era responsabile dell’attacco alla MGM, ma ha negato la responsabilità dell’hacking di Caesars.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

A sua volta, anche il gruppo ALPHV ha successivamente rivendicato l’attacco alla MGM, pubblicando una dichiarazione sul suo sito di fuga di informazioni.

Un rappresentante di Scattered Spider ha detto a CyberScoop che il loro gruppo è in realtà un sottogruppo/affiliato di ALPHV. È difficile giudicare se queste informazioni siano affidabili, perché ALPHV non ha menzionato alcun gruppo affiliato nella sua dichiarazione pubblicata da un ricercatore di sicurezza indipendente su GitHub.

Se con l’attacco alla MGM Resorts tutto è diventato più o meno chiaro, non è ancora chiaro chi abbia attaccato la Caesars Entertainment. In precedenza, fonti vicine all’incidente avevano affermato che anche questa era opera di Scattered Spider, ma perché allora un rappresentante di questo gruppo, in comunicazione con CyberScoop, ha rinnegato l’incidente?

Giovedì, in un documento, Caesars ha confermato di aver identificato “attività sospette sulla sua rete derivanti da un attacco di ingegneria sociale contro un fornitore di supporto IT in outsourcing”.

Secondo l’azienda, gli aggressori hanno ottenuto una copia del database del programma fedeltà, che includeva i numeri di patente di guida e/o i numeri di previdenza sociale di un numero significativo di partecipanti al database.

Caesars ha affermato di aver fatto ogni sforzo per garantire che i dati rubati venissero cancellati, sebbene la società non possa garantirlo. Molto probabilmente si tratta del pagamento di un riscatto.

Né Caesars né MGM hanno risposto a molteplici richieste di commento. L’FBI ha riconosciuto che stava indagando su entrambi gli incidenti, ma ha anche rifiutato di commentare ulteriormente.

Al 15 settembre, il sito web della MGM era inattivo. Oggi risulta online, ma presenta nella home page un messaggio che riassume la situazione. Potrebbe essere improbabile che la MGM abbia trasferito il riscatto agli aggressori, come ha fatto Caesars.

Nel frattempo, la MGM potrebbe ancora cambiare idea, poiché un membro di Scattered Spider che ha parlato con CyberScoop ha affermato che le trattative con la MGM sono ancora in corso. L’uomo ha affermato che i dati rubati includevano informazioni sui clienti, segnalazioni di aggressioni sessuali e altri documenti aziendali. Ancora una volta, se questa informazione è vera.

Indipendentemente da chi sia stato effettivamente responsabile di entrambi gli incidenti, sarebbe insensato negare che entrambi i gruppi siano entità esperte con una ricca storia di attacchi di estorsione.

Secondo un’analisi della società di sicurezza informatica Trellix, il gruppo Scattered Spider è attivo dal maggio 2022 e fino a poco tempo fa prendeva di mira principalmente organizzazioni coinvolte nelle telecomunicazioni e nell’outsourcing dei processi aziendali, per poi iniziare a prendere di mira altri settori, comprese le infrastrutture critiche. ALPHV è diventato noto anche prima e appare costantemente in numerosi attacchi.

Charles Carmakal, CTO di Mandiant, ha definito Scattered Spider “una delle bande di criminali informatici più diffuse e aggressive che colpiscono le organizzazioni oggi negli Stati Uniti”.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli