Quand la maison a perdu : Les leçons à tirer des récentes attaques de ransomware contre les casinos de Vegas
...ou comment voler 15 millions de dollars à un casino sans recourir à des magouilles dignes de "Ocean's Eleven".
Alors que les violations de données et les attaques de ransomware deviennent de plus en plus courantes, même le monde clinquant et protégé des casinos de Las Vegas n'est pas à l'abri. Il y a deux semaines, la capitale du jeu a été frappée par une série d'attaques de ransomware qui ont touché des acteurs majeurs comme MGM Resorts et Caesars Entertainment. Ces attaques ont non seulement entraîné d'importants temps d'arrêt, mais aussi une perte massive de revenus, ternissant ainsi la réputation de ces établissements emblématiques. Dans cet article de blog, nous allons disséquer l'incident, examiner les ramifications des paiements de rançons et explorer les vulnérabilités qui ont facilité ces attaques.
Le vieux truisme selon lequel "la maison gagne toujours" n'a pas été respecté lors de cet incident.
L'incident
Plusieurs casinos de Las Vegas ont été contraints d'interrompre leurs activités pendant une longue période. MGM, un incontournable de Las Vegas, a fermé ses machines à sous et plusieurs autres systèmes dans ses casinos et hôtels pendant dix jours en raison d'infections par des ransomwares et des complications qui en ont résulté. Cette situation a entraîné des pertes de revenus considérables, sachant qu'une seule journée d'arrêt peut coûter des millions de dollars à un grand casino.
Caesars Entertainment, l'une des parties concernées, a été contrainte de révéler qu'elle avait payé une partie de la rançon. a été contrainte de révéler qu'elle avait payé une partie de la rançon - environ 15 millions de dollars - en raison de la nouvelle réglementation de la SEC qui exige la divulgation obligatoire de tels incidents. - environ 15 millions de dollars - en raison de la nouvelle réglementation de la SEC exigeant la divulgation obligatoire de tels incidents. Pourtant, même après le paiement, Caesars a admis qu'il n'y avait aucune garantie que les données volées, qui comprenaient des informations sensibles sur les clients, ne seraient pas divulguées publiquement. Il est facile de comprendre la réticence de Caesars à admettre que la situation est entièrement résolue sur la seule foi de la parole de l'extorqueur.
Le coût du paiement de la rançon
En payant la rançon, des sociétés comme Caesars ont sans doute peint des cibles dans leur dos. Dans le monde de la cybercriminalité, la volonté de payer une fois est souvent considérée comme une invitation à des attaques futures. La mentalité est simple : "Ils ont payé une fois, ils paieront encore".
Les vulnérabilités sous-jacentes
Alors que les entreprises consacrent souvent d'importantes ressources aux mesures de cybersécurité, cet incident montre qu'il n'est pas toujours possible de résoudre le problème à coup d'argent. Les attaquants ont obtenu un accès initial par ingénierie sociale, en se faisant passer pour un entrepreneur et en contactant le service d'assistance pour récupérer le mot de passe. Après avoir trompé le personnel d'assistance, ils ont obtenu un accès administrateur à Okta, qui assurait la gestion des identités dans l'ensemble de l'infrastructure du casino.
En particulier, il ne semble pas y avoir de séparation des rôles et des privilèges entre les différents systèmes, ce qui crée un point de défaillance unique. D'où la question suivante : en faisons-nous assez pour prendre en compte le facteur humain dans la cybersécurité ?
Enseignements tirés
Ne pas sous-estimer le facteur humain
Le premier point d'entrée dans cette attaque n'était pas un exploit sophistiqué de type "zero-day", mais un agent d'assistance humain qui a été piégé pour donner l'accès. La formation des employés à la cybersécurité est aussi cruciale que n'importe quel pare-feu ou système de détection d'intrusion avancé.
Séparation des rôles et limitation des privilèges
Un manque de séparation des rôles et des privilèges excessifs peuvent conduire à un point de compromission unique affectant plusieurs systèmes. La mise en place d'un accès avec le moins de privilèges possible et d'une séparation des tâches peut grandement contribuer à limiter l'impact potentiel d'une violation.
L'épée à double tranchant de la conformité
Si les réglementations de la SEC imposant la divulgation des paiements effectués dans le cadre de ransomwares améliorent la transparence, elles informent également les attaquants potentiels que certaines entreprises sont prêtes à payer, ce qui pourrait en faire des cibles plus attrayantes pour de futures attaques.
Repenser le paiement des rançons
Le paiement d'une rançon non seulement encourage les cybercriminels, mais ne garantit pas non plus la sécurité des données volées. Les organisations devraient peser soigneusement les conséquences à long terme avant de céder aux demandes de rançon.
Continuité des activités
La mise en place de plans visant à garantir que votre organisation puisse continuer à fonctionner en cas d'effondrement de l'infrastructure informatique - avec des étapes clairement définies à reproduire lors d'un incident stressant - aurait permis d'économiser des millions de dollars en pertes de revenus (estimées à au moins 8 millions USD par jour pour la seule société MGM). Une autre bonne pratique consiste à simuler et à valider régulièrement ces plans pour s'assurer qu'ils sont toujours à jour.
Reprise après sinistre
Outre la poursuite des activités dans le cadre d'une infrastructure (éventuellement entièrement) différente, il est essentiel de disposer de plans clairement définis pour récupérer les actifs affectés.
Réflexions finales
La cybersécurité est un défi permanent et évolutif qui exige plus qu'un simple investissement financier. Elle exige une approche à multiples facettes qui s'attaque aussi bien aux lacunes technologiques qu'aux vulnérabilités humaines. Comme le dit le proverbe, "la solidité d'une chaîne dépend de celle de son maillon le plus faible" et, dans le domaine de la cybersécurité, ce maillon est souvent humain.