El grupo detrás del 'ransomware' a MGM critica la respuesta de seguridad al ataque
Acusa de tener un personal "incompetente", múltiples vulnerabilidades en los sistemas y de no preocuparse de la seguridad del cliente.
En un interesante giro de los acontecimientos, el grupo de ransomware ALPHV, también conocido como BlackCat, ha emitido una declaración en la que critica tanto a MGM Resorts como a la firma de ciberseguridad VX Underground por gestionar mal el ciberataque contra los casinos y complejos hoteleros. En un largo mensaje destinado a “dejar las cosas claras”, los ciberdelincuentes detallan que MGM bloqueó apresuradamente activos clave, lo que indica una respuesta deficiente.
“Tomó la apresurada de cisión de cerrar todos y cada uno de los servidores Okta Sync después de enterarse de que habíamos estado acechando y rastreando contraseñas”, se lee en el escrito. “Esto resultó en que Okta quedara completamente fuera”.
El documento también critica a VX Underground por “informar falsamente sobre hechos que nunca sucedieron” con respecto a las tácticas, técnicas y procedimientos usados. ALPHV afirmó haberse infiltrado inicialmente en la red de MGM explotando vulnerabilidades en Okta Agent del propietario global del casino sin implementar ningún ransomware. Obtuvieron privilegios de superadministrador y de administrador global de Axure.
En respuesta a la infiltración en la red, MGM implementó restricciones condicionales el día 10 de septiembre que prohibieron todo acceso a su entorno Okta debido a lo que ALPHV llamó “capacidades administrativas inadecuadas y guías débiles de respuesta a incidentes”.
“Debido a la falta de comprensión de sus ingenieros sobre el funcionamiento, el acceso a la red fue problemático el sábado. El domingo tomaron la decisión de desconectar componentes aparentemente importantes de su infraestructura”.
A pesar de la infección desde el viernes, ALPHV solo lanzó ataques de ransomware un día después del cierre de MGM el domingo (11 de septiembre), en los que obtuvo acceso a más de 100 hipervisores ESXI en su entorno, según el mensaje. Lo hicieron "después de intentar ponerse en contacto con MGM pero sin éxito".
Sin embargo, expertos como Bobby Cornwell, vicepresidente de habilitación e integración de socios estratégicos en SonicWall, creen que la decisión de MGM de cerrar estaba realmente justificada. "Por precaución, MGM tomó la decisión correcta de bloquear todos los sistemas que hizo, incluso si eso significaba molestar a sus huéspedes como resultado de sus acciones".
Sobre VX Underground
ALPHV criticó a VX Undergrouns, la firma de investigación de ciberseguridad que vinculó por primera vez el ataque con ALPHV, por desinformar y simplificar excesivamente los TTP implementados en el ataque.
"En este punto, no tenemos más remedio que criticar a VX Underground por informar falsamente sobre eventos que nunca sucedieron. Eligieron hacer afirmaciones de atribución falsas y luego filtrarlas a la prensa cuando aún no pueden confirmar la atribución con un alto grado de certeza después de hacer esto. Los TTP utilizados por las personas a las que culpan de los ataques son conocidos por el público y son relativamente fácil de imitar para cualquiera."
En una publicación de X (anteriormente Twitter), VX Underground había dicho: "Todo lo que hizo el grupo de ransomware ALPHV para comprometer MGM Resorts fue ingresar a LinkedIn, encontrar un empleado y luego llamar al servicio de asistencia técnica. Una empresa valorada en 33 millones de dólares fue derrotada por una conversación de un minuto".
Incertidumbre en medio de rumores de uso de información privilegiada
ALPHV expresó que un usuario desconocido apareció en el chat de víctimas de MGM unas horas después de que se implementó el ransomware y que no pudieron vincularlo con MGM ya que sus consultas por correo electrónico quedaron sin respuesta. ALPHV publicó un enlace para descargar materiales exfiltrados hasta el 12 de septiembre en la discusión con el usuario, pero ni el usuario ni MGM reaccionaron a los plazos que amenazaban con una filtración.
ALPHV también alegó actividades dudosas dentro de MGM, cuestionando el interés de la empresa en la seguridad de los clientes. "Creemos que MGM no aceptará un acuerdo con nosotros", dijo ALPHV. "Simplemente observe su comportamiento de uso de información privilegiada. Ningún insider ha comprado acciones en los últimos 12 meses, mientras que los insiders han vendido acciones por un total de 33 millones de dólares".
La incertidumbre se cierne sobre varios de los sistemas clave de MGM que permanecen cerrados incluso días después del ataque que salió a la luz el 10 de septiembre cuando la compañía anunció que se vio obligada a cerrar muchos sistemas debido a un problema de ciberseguridad.
"El hecho de que el sitio web todavía esté caído sugiere que este fue el verdadero premio para los atacantes", dijo Cornwell. "Si bien los sistemas de juego tienen una gran cantidad de elementos que un pirata informático buscaría en un ataque de ransomware, el sitio web del complejo, que permite reservar habitaciones y entretenimiento, tiene un efecto de gran alcance y muy público que podría generar un gran día de pago".
