MGM Resorts geht weiter musste einen großflächigen Ausfall bekämpfen, nachdem ein Cyberangriff das Unternehmen dazu gezwungen hatte, Systeme auf seinen Grundstücken herunterzufahren.
Der Hotel- und Unterhaltungsriese, der eine Reihe von Hotels und Casinos am Las Vegas Strip betreibt, darunter das Bellagio, Aria und Cosmopolitan, hat am Sonntag große Teile seiner internen Netzwerke abgeschaltet. Dies führte zu weit verbreiteten Störungen in den Hotels und Casinos des Unternehmens. Gäste berichteten, dass Geldautomaten und Spielautomaten sowie digitale Zimmerschlüsselkarten und elektronische Zahlungssysteme außer Betrieb seien.
Laut MGM ist der Ausfall nun bereits am vierten Tag in einem Update am Donnerstag, dass das Unternehmen daran arbeite, „unser Cybersicherheitsproblem zu lösen“. Trotz der Behauptung des Unternehmens melden Gäste weiterhin Probleme in allen MGM-Unterkünften Anfang der Woche dass seine Resorts, einschließlich Restaurants, Unterhaltung und Spiele, „derzeit in Betrieb“ sind.
Jüngste Berichte in den sozialen Medien zeigen, dass die MGM-Casinos weiterhin außer Betrieb sind und dass sich vor den betroffenen Hotels große Warteschlangen gebildet haben, da das Personal auf Stift und Papier zurückgegriffen hat. Gäste haben auch berichtet, dass der Fernsehempfang in den Hotelzimmern sowie die Telefonleitungen von MGM ausgefallen seien.
Auf der Website von MGM, auf der Gäste am Dienstag aufgefordert wurden, anzurufen, um eine Reservierung vorzunehmen, werden Kunden nun aufgefordert, für Buchungen die Rewards-App zu verwenden. Auf der Website heißt es außerdem, dass MGM Gästen, die bis zum 17. September anreisen, auf Umbuchungs- und Stornierungsgebühren verzichtet.
Scattered Spider übernimmt Verantwortung für MGM-Verstoß
Ein Vertreter der Hackergruppe Scattered Spider sagte gegenüber Tech, dass sie hinter dem MGM-Cyberangriff steckt.
Die Nachricht von der Übernahme der Verantwortung war zuerst berichtet vom Malware-Repository-Kollektiv vx-underground, das am Mittwoch sagte, dass Scattered Spider, vermutlich eine Untergruppe der ALPHV-Ransomware-Bande, dafür verantwortlich sei.
Die Dark-Web-Leak-Site, auf der ALPHV typischerweise von Opferorganisationen gestohlene Dateien veröffentlicht, hat MGM Resorts noch nicht aufgeführt. Es ist noch nicht bekannt, welche Daten aus den Systemen von MGM exfiltriert wurden.
In Berichten dieser Woche heißt es, dass Scattered Spider (auch bekannt als UNC3944) auch hinter einem kürzlich erfolgten Cyberangriff auf den Hotel- und Casinogiganten Caesars Entertainment steckte, wie Bloomberg berichtete gemeldet am Mittwoch unter Berufung auf mit der Veranstaltung vertraute Quellen. Bloomberg sagte, die Hacker hätten den Hotel- und Unterhaltungsgiganten erstmals Ende August ins Visier genommen, indem sie einen seiner externen IT-Anbieter gehackt hätten. Das Wall Street Journal später berichtet dass Caesars etwa die Hälfte der 30 Millionen Dollar bezahlte, die die Hacker verlangt hatten, um die Offenlegung gestohlener Daten zu verhindern.
Caesars bestätigte den Verstoß in einer 8-K-Einreichung mit den Bundesaufsichtsbehörden am Donnerstag und sagte, Hacker hätten die Datenbank seines Treueprogramms gestohlen, die die Führerscheinnummern der Kunden und Sozialversicherungsnummern für „eine beträchtliche Anzahl von Mitgliedern in der Datenbank“ enthält. Caesars sagte außerdem, es habe „Maßnahmen ergriffen, um sicherzustellen, dass die gestohlenen Daten von dem nicht autorisierten Akteur gelöscht werden, obwohl wir dieses Ergebnis nicht garantieren können“, was impliziert, dass das Unternehmen das Lösegeld der Hacker bezahlt hat.
Börsennotierte US-Unternehmen müssen bei der SEC 8-K-Mitteilungen einreichen, wenn ein Ereignis wesentliche Auswirkungen auf ihr Geschäft hat. Caesars sagte, es seien Kosten im Zusammenhang mit dem Angriff entstanden und könnten auch weiterhin anfallen.
Der Vertreter von Scattered Spider teilte Tech in einer Online-Nachricht mit, dass die Gruppe zwar für den MGM-Angriff verantwortlich sei, aber „keine Beteiligung“ am Caesars-Vorfall habe.
Auf die Frage, warum die Gruppe begonnen habe, Casinos ins Visier zu nehmen, nachdem sie zuvor Videospielhersteller und Telekommunikationsunternehmen ins Visier genommen hatte, sagte der Vertreter, dass die Gruppe keine Zielunternehmen festgelegt habe. „Wenn Sie Geld haben, wollen wir es“, sagte der Vertreter von Scattered Spider.
Der Vertreter beantwortete die anderen Fragen von Tech nicht.
Scattered Spider teilte vx-underground mit, dass sie MGM Resorts mithilfe von Social Engineering kompromittiert hätten, wobei die Hacker angeblich einen Mitarbeiter auf LinkedIn gefunden und den Helpdesk der Organisation angerufen hätten, um auf ihr Konto zuzugreifen. Scattered Spider ist dafür bekannt, mithilfe von Social-Engineering-Techniken Mitarbeiter dazu zu verleiten, den Hackern Zugang zu großen Unternehmensnetzwerken zu gewähren. Mitglieder der transatlantischen Hacking-Gruppe Berichten zufolge handelt es sich dabei um junge Erwachsene und Jugendlicheähnelt ähnlichen Hacker- und Erpressungsgruppen wie Lapsus$.
„Das sind keine russischen Hacker, das sind westliche Hacker“, sagte Allison Nixon, Forschungsleiterin bei Unit 221B, gegenüber Tech. „Es sind unverhältnismäßig viele Minderjährige beteiligt, und das liegt daran, dass die Gruppe aufgrund des milden rechtlichen Umfelds, in dem sich diese Minderjährigen befinden, absichtlich Minderjährige rekrutiert und sie wissen, dass ihnen nichts passieren wird, wenn die Polizei ein Kind erwischt“, sagte Nixon.
MGM hat sich bisher noch nicht zur Art des Cyberangriffs geäußert 8-K-Einreichung Anfang der Woche.
Als ein FBI-Sprecher per E-Mail kontaktiert wurde, lehnte er es ab, sich zu Fragen im Zusammenhang mit dem Vorfall in Caesars zu äußern, einschließlich der Frage, ob das FBI davon Kenntnis hatte oder Ermittlungen durchführte. Der FBI-Sprecher, der namentlich nicht genannt werden wollte, bestätigte, dass man den MGM-Cyberangriff untersuchte, sagte aber, man könne „keine weiteren Details nennen“.
US-Behörden raten Opfern von Cyberangriffen und Erpressungen seit langem davon ab, das Lösegeld zu zahlen.
Caesars-Sprecher Robert Jarrett antwortete nicht auf eine Bitte um Stellungnahme, und MGM hat bisher noch nicht auf E-Mails, Nachrichten oder Anrufe von Tech geantwortet. Es ist nicht klar, ob die Mitarbeiter des Unternehmens Zugriff auf die E-Mail-Systeme des Unternehmens haben.
Arbeiten Sie bei MGM oder Caesars? Haben Sie weitere Informationen zu den Cyberangriffen? Sie können Carly Page sicher über Signal unter +441536 853968 oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.