De cyberaanval die in 2023 het meest tot de verbeelding sprak, was ongetwijfeld die op de Las Vegas casino’s van MGM en Caesars Palace. Of hoe hackers kwamen, overwonnen en wegliepen met een van de grootste losgeldbetalingen in de geschiedenis.
Waar George Clooney en zijn elf kompanen in de Hollywood-film Ocean’s Eleven nog een fysieke heist uitvoerden op drie casino’s in Las Vegas (MGM, Mirage en Bellagio) deden cybercriminelen het vanachter hun computerscherm. En ze konden meer casino’s treffen, namelijk zij die gelinkt zijn aan de casinogroepen Caesars Entertainment en MGM Resorts.
De ransomwarebende, die zich later als Alphv zal outen, maakte gebruik van social-engineering-aanvallen op it-servicedeskmedewerkers van de hotelgroepen. Ze overtuigden hen ervan om de multifactor-authentication-regeling opnieuw in te stellen voor zeer bevoorrechte gebruikers van de zogenaamde Okta Agent-applicatie rond identity & access management. Vervolgens maakten ze gebruik van gecompromitteerde Okta super administrator-accounts om zich voor te doen als gebruikers binnen de beoogde organisaties.
Handmatig inchecken
De ransomware-aanval had het gewenste effect: verschillende casino’s en hotels die eigendom waren van MGM, waaronder Bellagio en Cosmopolitan, werden gedwongen om hun computers helemaal niet meer te gebruiken en in plaats daarvan hotelgasten handmatig in te checken en klanten contant uit te betalen.
Uit de zogenaamde Form 8-K die MGM later indiende bij beurswaakhond SEC, blijkt dat het gokimperium de verliezen als gevolg van de aanval op honderd miljoen dollar schatte. De keten bevestigde dat de hackers toegang hadden gekregen tot klantgegevens, waaronder rijbewijsnummers en sommige sofi- en paspoortnummers, maar geen wachtwoorden, bankrekeningnummers of betaalkaartgegevens. MGM betaalde de hackers niet. Caesars, dat dus door dezelfde aanvallers werd getroffen, besliste wél te dokken. En meer bepaald: vijftien miljoen dollar, naar verluidt de helft van het gevraagd losgeld van dertig miljoen dollar.
Casino’s hebben een uitstekende reputatie op het gebied van beveiliging, maar het lijkt er dus op dat die beveiliging meer gericht is op fysieke beveiliging dan op online kwetsbaarheden. In elk geval hadden de hotels, en vooral die van MGM, wekenlang af te rekenen met een haperende dienstverlening.
Hollywood deed het beter
Er zijn maar weinig losgeldbetalingen bekend die groter zijn dan de vijftien miljoen dollar die Caesars ophoestte, waaronder het losgeld van veertig miljoen dollar dat in 2021 werd neergeteld door verzekeraar CNA Financial Corp. Met als gevolg dat Caesars op zijn beurt de twijfelachtige eer heeft om een van de recordhouders te zijn inzake ransomwarebetalingen.
Maar ere wie ere toekomt. George Clooney en zijn handlangers deden het beter: zij haalden in Ocean’s Eleven zowat honderdvijftigmiljoen dollar uit de kluizen van de MGM-casino’s. Maar dat is natuurlijk Hollywood.
Foto boven: MGM Grand Hotel & Casino (Wikipedia/Commons) in Las Vegas.