MGM et Caesars 2023

En septembre 2023, MGM Resorts s’éteint dans ses propriétés de Las Vegas. Les machines à sous n’acceptent plus les cartes. Les clés d’hôtel cessent de fonctionner. Le site web tombe. Pendant plusieurs jours, les employés prennent les réservations sur papier et saisissent les transactions à la main.

Dix minutes d’ingénierie sociale

L’intrusion n’a pas exigé de zero-day. Le groupe derrière — un collectif anglo-saxon plutôt diffus suivi sous le nom de Scattered Spider — identifie un employé IT de MGM sur LinkedIn, appelle le service d’assistance de l’entreprise en se faisant passer pour lui, et convainc l’agent de réinitialiser ses identifiants. La réinitialisation donne aux attaquants un point d’ancrage dans Okta, à partir duquel ils rebondissent dans l’environnement global et déclenchent le ransomware ALPHV / BlackCat.

Caesars Entertainment avait été touchée par la même équipe quelques semaines plus tôt. Caesars a choisi de payer une rançon estimée à quinze millions de dollars et a divulgué l’incident avec relativement peu de perturbation opérationnelle. MGM a refusé de payer. Le coût du choix de MGM, par l’estimation ultérieure de l’entreprise elle-même, dépasse cent millions de dollars en pertes de revenus et remédiation.

Un nouveau type de bande

Scattered Spider est inhabituelle. Ses membres sont en majorité des anglophones natifs, beaucoup adolescents ou jeunes adultes aux États-Unis et au Royaume-Uni. Ils combinent SIM-swapping, vishing et coordination via Telegram, avec un outillage de ransomware sous-jacent fourni par des partenaires russophones — un modèle hybride d’une efficacité inhabituelle contre les hotlines occidentales.

Ce que la chronique retient

MGM et Caesars ont fait du tapis de jeu une étude de cas sur le risque fournisseur d’identité. Une fois un compte admin Okta compromis, la sécurité technique de chaque système en aval devient négociable. Chaque RSSI disposant d’un service d’assistance IT a passé le trimestre suivant à réécrire ses scripts de vérification d’identité.