Un cyberattacco condotto su larghissima scala ha messo in ginocchio il colosso MGM, che possiede diversi alberghi di super lusso e casinò a Las Vegas e ad Atlantic City (due delle capitali statunitensi del gioco). La settimana scorsa tutto il sistema informatico del mega albergo con annesso casinò della città del Nevada è andato completamente in tilt, coinvolgendo sia le macchine da gioco che la domotica delle stanze.

Come riportato dai clienti presenti in diretta sui social, alcune slot machine erano accese e funzionanti ma non erogavano i premi, mentre altre (pare la maggior parte) erano proprio inaccessibili, bloccate da una schermata blu. Altrettanti denunciavano problemi ad accedere alle camere dell'hotel usando la chiave elettronica e lamentavano strani addebiti sulla carta di credito a fronte di servizi mai richiesti.

Il cyberattacco a Las Vegas, cos'è successo

Secondo le prime indagini, il responsabile del mega attacco è un gruppo chiamato Scattered Spider che avrebbe utilizzato sistemi di social engineering (fingendo di essere qualcuno noto a una vittima per indurla a compiere determinate azioni) per introdurre un ransomware as a service nei sistemi MGM. Dopo aver criptato i dati rubati sarebbe stato chiesto un riscatto. Mentre MGM ufficialmente dichiara di non aver pagato nulla e di stare lavorando al ripristino, alcuni utenti online invece sostengono che il megariscatto in criptovalute sarebbe stato corrisposto.

In realtà il riscatto per riavere i dati criptati non era neanche il vero scopo dell'attacco: Scattered Spider era partito nel tentativo di "scasso digitale" delle slot, per impossessarsi delle vincite, ma questo intento non sarebbe risultato possibile ripiegando quindi a un'opzione di monetizzazione più classica.

Il metodo utilizzato dai criminali sembrerebbe essere semplice quanto geniale: avrebbero raccolto informazioni personali di un dipendente MGM su Linkedin e avrebbero poi contattato il supporto IT che si occupa della manutenzione dei sistemi informatici spacciandosi appunto per il dipendente e facendosi dare le credenziali di accesso. Si tratta di una tecnica nota come "vishing" (voice + fishing) in cui l'hacker usa la sua voce - telefonando o tramite messaggi vocali - per ottenere le informazioni di cui ha bisogno.

Il vishing

Il vishing è molto più semplice del phishing classico: come siamo ormai abituati a vedere, il phishing via email prevede comunque il dover tirare su un'infrastruttura di un certo tipo, che confezioni e invii i messaggi e poi raccolga le interazioni e le perfezioni. Nel vishing, invece, si tratta di fare una minima data collection estremamente semplice in questi tempi così social. Il mezzo più "utile" sembra essere la consultazione di Linkedin, che si rivela essere una vera e propria miniera di dati personali e aziendali. A questo punto, basta tirare su il telefono, essere convincenti e chiedere una cosa semplice, tipo un reset password da fare arrivare poi su una mail fraudolenta.

Come difendersi? Questa tecnica sembra essere particolarmente insidiosa perchè la persona a cui viene rubata l'identità è completamente incolpevole e inconsapevole di quanto sta accadendo: tutto si viene a sapere dopo, a guaio già accaduto. Oltre all'ovvio consiglio del non lasciare troppe tracce digitali e troppe informazioni personali online, è buona norma attivare le autenticazioni a due fattori come ad esempio ricevere degli sms di conferma o digitazione di password OTP su altri dispositivi. Se qualcuno sta fingendo di essere noi, è più difficile che possa poi accedere al nostro smartphone o sia in possesso dei dispositivi che generano le OTP che generalmente sono personali. Ancora, può essere utile attivare il riconoscimento biometrico tramite il volto e/o le impronte digitali. È vero che si tratta di sistemi comunque aggirabili o scardinabili, ma non dobbiamo mai dimenticare il fattore tempo. Per un hacker, la vittima è tanto più appetibile quanto è veloce il poterla attaccare. Se per arrivare a determinate informazioni è necessario troppo tempo o troppo lavoro, generalmente è il caso di cambiare target perchè il guadagno non potrebbe valere il tempo speso per arrivare al maltolto.

‍

Le reazioni all'attacco a MGM

Le reazioni non si sono fatte attendere, soprattutto da parte degli utenti. Se la MGM si è trincerata dietro classici e asettici comunicati stampa, i clienti delle loro strutture hanno ampiamente rilanciato online quello che stava accadendo in tempo reale. In questo caso, la grande eco raccolta dal caso è stata dovuta al grande bacino di utenza che MGM raccoglie in un posto già di per sè molto affollato come Las Vegas (il MGM Hotel è la struttura più grande di tutte) e quindi alla massiccia presenza di persone che, contemporaneamente, hanno iniziato a parlare dell'attacco rendendolo subito un topic virale.

Non sono mancate le reazioni della concorrenza: il Larry Flynt's Hustler Club, uno strip club anch'esso a Las Vegas, ha offerto un'esperienza per alleviare lo stress di chiunque sia stato coinvolto nel data breach MGM, sia clienti che dipendenti. L'esperienza comprende un trattamento vip composto da transfer da/per l'aeroporto, deposito bagagli e una Membership Platinum Card del valore di 1200 dollari per gli spettacoli di lap dance offerti dal club.

MGM non ha ancora diffuso particolari sull'attacco, si è limitata a sottolineare come l'operatività delle sue strutture non sia stata limitata dall'accaduto, rimanendo sempre aperte e operative al 100%.