Caesars, MGM : deux opérateurs d’hôtels-casinos, un groupe à l’attaque ?

Le groupe Caesars Entertainement, opérateurs d’hôtels-casinos de renom à Las Vegas, a déclaré, au gendarme des marchés boursiers américains, la SEC, avoir été récemment confronté à une cyberattaque.

Dans sa déclaration réglementaire, le groupe explique avoir « identifié une activité suspecte dans son réseau de technologie de l’information, résultant d’une attaque d’ingénierie sociale sur un fournisseur de support IT externalisé utilisé par la société ».

Plus loin, Caesars Entertainment indique que, « après avoir détecté l’activité suspecte, nous avons rapidement activé nos protocoles de réponse aux incidents et mis en œuvre une série de mesures de confinement et de remédiation pour renforcer la sécurité de notre réseau informatique ». 

Las, « le 7 septembre 2023, nous avons déterminé que l’acteur non autorisé avait acquis une copie, entre autres données, de la base de données de notre programme de fidélisation, qui comprend les numéros de permis de conduire et/ou les numéros de sécurité sociale d’un nombre important de membres de la base de données ».

Le groupe assure avoir « pris des mesures pour nous assurer que les données volées sont supprimées par l’acteur non autorisé, bien que nous ne puissions pas garantir ce résultat ».

Selon nos confrères de Bloomberg, l’attaque a commencé le 27 août et s’est soldée par le paiement d’une rançon. Selon le Wall Street Journal, le montant versé s’est élevé à « près de la moitié d’une rançon de 30 millions de dollars que les pirates avaient demandée ». 

Selon Bloomberg, Caesars Entertainment a été frappé par le même groupe que celui impliqué dans la cyberattaque dont vient d’être victime son concurrent MGM Resorts Entertainment, que CrowdStrike suit sous le nom de Scattered Spider.

Ce groupe, suivi par Mandiant sous la référence UNC3944, ou encore par Microsoft sous Storm-0875, et Group-IB avec le nom de Roasted 0ktapus, est connu pour ses talents en matière d’ingénierie sociale, et de contournement de l’authentification à facteurs multiples (MFA).

Les attaques conduites contre Okta ou Riot Games, ou encore Coinbase, notamment, lui sont attribuées. Les autorités américaines se sont longuement penchées sur ce groupe associé à Lapsus$ mais aux contours fluides et aux liens variés.

Nous avons sollicité les opérateurs de la franchise Alphv/BlackCat pour tenter d’obtenir une confirmation de leur part, mais sans succès pour le moment.