Violazione MGM Resorts

Cos’è Violazione MGM Resorts?

La violazione di MGM Resorts di settembre 2023 è uno degli attacchi di ingegneria sociale più costosi nella storia aziendale, con un costo stimato di 100 milioni di dollari in mancati ricavi e rimedio. Questo esercizio ti guida attraverso la catena di attacco reale utilizzata dal gruppo di minaccia Scattered Spider. È iniziato con una ricognizione open source su LinkedIn, dove gli attaccanti hanno identificato un dipendente MGM, poi hanno chiamato l'helpdesk IT spacciandosi per quel dipendente per richiedere un reset della password. L'intera fase di ingegneria sociale è durata circa 10 minuti. Una volta all'interno, il gruppo ha distribuito il ransomware ALPHV/BlackCat nella rete di MGM, mettendo fuori uso i sistemi di prenotazione degli hotel, le chiavi digitali delle camere, le slot machine e gli ATM nelle proprietà di Las Vegas e a livello nazionale. L'interruzione è durata circa 10 giorni. Analizzerai ogni fase dell'attacco: la ricognizione su LinkedIn, la telefonata di vishing all'helpdesk, il reset delle credenziali che ha dato agli attaccanti il punto d'ingresso e il movimento laterale che ha portato alla compromissione completa della rete. L'esercizio ti obbliga a valutare le procedure di verifica dell'identità della tua organizzazione per le chiamate all'helpdesk e i reset delle password. La stessa telefonata funzionerebbe contro il tuo team? La maggior parte dei partecipanti scopre lacune che non aveva precedentemente considerato.

Cosa imparerai in Violazione MGM Resorts

• Ricostruire l'intera catena di attacco dalla ricognizione su LinkedIn attraverso il vishing fino al deployment del ransomware come avvenuta nella violazione MGM
• Identificare come gli attaccanti utilizzano le informazioni pubbliche dei dipendenti sui social media per costruire pretesti convincenti per le chiamate all'helpdesk
• Valutare la debolezza della verifica dell'identità basata sulle conoscenze quando i dettagli personali sono disponibili online
• Progettare procedure di verifica dell'identità multifattore per le richieste all'helpdesk e di reset delle password che resistano all'ingegneria sociale
• Valutare la vulnerabilità della propria organizzazione agli attacchi di vishing mirati all'helpdesk confrontando le procedure attuali con le lacune sfruttate in questo caso

Violazione MGM Resorts — Fasi della formazione

1. Introduzione: un lunedì intenso al supporto IT di MGM

   È lunedì 11 settembre 2023 e hai appena iniziato il tuo turno. La mattinata è stata frenetica: la solita reimpostazione della password, problemi con la VPN e richieste di accesso che arrivano con l'inizio di una nuova settimana. Oggi sembra un lunedì qualsiasi, con la coda dei ticket che mostra già 15 richieste aperte. Lavori con MGM da due anni e sei orgoglioso del tuo servizio clienti: aiutare i dipendenti a tornare rapidamente al lavoro è la tua massima priorità.

2. Controllo della coda dei biglietti

   La tua coda per i biglietti è piena stamattina: 15 richieste aperte in attesa della tua attenzione. La maggior parte sono di routine: reimpostazione della password, problemi di connessione VPN e richieste di accesso. Devi accedere al portale di supporto per iniziare a elaborarle. Hai gestito queste richieste in modo efficiente tutta la mattina. I tuoi parametri di performance premiano tempi di risoluzione rapidi e sei orgoglioso di aiutare i dipendenti a tornare al lavoro il più velocemente possibile.

3. Una chiamata in arrivo

   Alle 10:23 il telefono della tua scrivania squilla. L'ID chiamante mostra che si tratta di un interno interno - 4429. Questo è del tutto normale; i dipendenti spesso chiamano direttamente l'helpdesk quando non riescono ad accedere al sistema di ticketing. Stai per rispondere a quella che sembra una chiamata di supporto di routine. La persona che ti chiama sembrerà stressata ma professionale, esattamente come decine di altri dipendenti che aiuti ogni settimana.

4. Inizia la telefonata

   Rispondi in modo professionale e dall'altra parte senti la voce di un giovane. Sembra sinceramente stressato ma educato. Il suo inglese è perfetto: chiaro accento americano, senza esitazione, utilizzando la stessa terminologia interna utilizzata dai tuoi normali chiamanti. Si presenta come Bob Richardson del team operativo del Bellagio e spiega che non può accedere ai suoi account con un'importante riunione del vicepresidente tra 20 minuti. Quando gli chiedi il suo tesserino da dipendente, ammette di non averlo memorizzato e ha lasciato il badge in macchina, chiedendoti se puoi cercarlo per nome. Questa è una richiesta comune. Molti dipendenti non memorizzano i propri documenti d'identità e dimenticano i badge. Niente di questa chiamata solleva alcun campanello d’allarme immediato.

5. Ricerca del record del dipendente

   Seguendo il protocollo standard, devi verificare l'identità di Bob cercando i dati del suo dipendente nel sistema. Ha fornito il suo nome completo: Robert Richardson e ha detto che lavora nei servizi per gli ospiti del Bellagio. Effettuerai una ricerca nel database dei dipendenti per confermare che è un legittimo dipendente della MGM prima di procedere con qualsiasi modifica dell'account. Questo è un passaggio di sicurezza di routine che esegui decine di volte al giorno.

6. Verifica dell'identità di Bob

   Il sistema mostra Robert Richardson, ID dipendente MG-47832, assunto a maggio 2020 come responsabile dei servizi per gli ospiti presso Bellagio. Tutto è andato a buon fine. Ora devi verificare la sua identità utilizzando le domande di sicurezza standard. Bob spiega il suo problema con l'MFA: il suo telefono è stato aggiornato ieri e ha danneggiato l'app Authenticator, quindi non può ricevere i codici di accesso. Questo è un problema comune che hai risolto molte volte in passato. Bob fornisce la sua data di nascita e le ultime quattro cifre del suo SSN senza esitazione. Menziona anche la sua manager Linda Chen (qualcuno che hai aiutato in precedenza) e fa riferimento a un progetto interno sull'implementazione del nuovo sistema di check-in. Sembra frustrato ma professionale, e spiega quanto sia urgente la questione a causa del suo imminente incontro con il vicepresidente.

7. Controllo incrociato delle informazioni

   Controlla le informazioni di Bob rispetto a quanto visualizzato nel portale dei dipendenti. La data di nascita, il codice fiscale, il nome del manager e il dipartimento corrispondono perfettamente. Tutto ciò che Bob ti ha detto è corretto. Conosce progetti interni, fa riferimento a persone reali e la sua frustrazione sembra genuina. Sta fornendo tutte le informazioni giuste senza che tu debba chiederle due volte. Non ci sono segnali di allarme evidenti che possano insospettirti. Sembra che si tratti di un dipendente legittimo che ha bisogno di aiuto per tornare al lavoro prima di una riunione importante.

8. La richiesta di ripristino dell'AMF

   Spieghi le opzioni standard a Bob: puoi reimpostare il suo MFA, ma dovrà registrare nuovamente il suo dispositivo. In alternativa, puoi inviare un codice di accesso temporaneo al suo indirizzo email o numero di telefono registrato. Bob spiega la sua situazione difficile: il suo numero di telefono è cambiato quando ha ricevuto la nuova carta SIM durante l'aggiornamento e non può accedere alla sua posta elettronica perché anche questo richiede lo stesso MFA da cui è bloccato. Ti chiede se puoi semplicemente reimpostare l'AMF in modo che possa registrarsi nuovamente subito con il telefono pronto. Questo rientra nella tua autorità. Hai già effettuato questo tipo di ripristino centinaia di volte. Il sistema mostra che è un dipendente legittimo con informazioni verificate. I tuoi parametri di prestazione premiano tempi di risoluzione rapidi e Bob ha chiaramente un'esigenza aziendale legittima.

9. Prendere la decisione

   Hai preso la tua decisione. Bob ha dimostrato di essere un vero dipendente fornendo dati personali accurati e offrendo una spiegazione ragionevole. Hai eseguito questo esatto tipo di reimpostazione MFA centinaia di volte senza incidenti. Bob sembra stressato per una legittima esigenza aziendale: un incontro imminente con il vicepresidente tra pochi minuti. Sei qui per aiutare i dipendenti a tornare rapidamente al lavoro. Non c'è motivo di rifiutare questa richiesta o di inoltrarla al tuo supervisore. Tutto è andato a buon fine e Bob è in attesa in linea, pronto a registrare nuovamente la sua app di autenticazione immediatamente.

10. Accesso alle Impostazioni dell'account

    Accedi al profilo del dipendente di Bob nel portale. La pagina mostra i suoi dettagli di base, la storia lavorativa e lo stato attuale. Per eseguire il ripristino dell'MFA, devi prima accedere alle impostazioni del suo account. Puoi vedere che il suo profilo conferma le informazioni che ha fornito: Responsabile dei servizi per gli ospiti presso Bellagio, assunto a maggio 2020. Tutto corrisponde a ciò che Bob ti ha detto al telefono.