Компания Caesars Entertainment, называющая себя крупнейшей сетью казино в США с самой масштабной программой лояльности в отрасли, сообщила, что пострадала от кибератаки и в итоге заплатила хакерам выкуп, чтобы избежать утечки данных клиентов. Исследователи считают, что за этим взломом могла стоять группировка Scattered Spider, недавно атаковавшая MGM Resorts.

Согласно документам, которые Caesars Entertainment подала на этой неделе в Комиссию по ценным бумагам и биржам США, атака была обнаружена 7 сентября 2023 года. В ходе расследования инцидента выяснилось, что злоумышленники успешно украли БД программы лояльности компании, которая, в числе прочего, содержала данные водительских прав и номера социального страхования клиентов.

При этом подчеркивается, что атака не повлияла на операции компании и работу с клиентами, и все работает в штатном режиме. Сам инцидент описывается как «связанная с социальной инженерией атака на поставщика аутсорсинговой ИТ-поддержки».

«На сегодняшний день у нас нет доказательств того, что неавторизованные лица получили какие-либо пароли или PIN-коды клиентов, информацию о банковских счетах или информация о платежных картах», — пишут представители компании, отмечая, что расследование произошедшего еще продолжается.

Также в документах упоминается, что компания заплатила злоумышленникам выкуп, чтобы не допустить утечки похищенных данных. По информации издания Wall Street Journal, Caesars Entertainment выплатила хакерами примерно 15 000 000 долларов, причем изначально злоумышленники требовали у компании вдвое больше — 30 000 000 долларов.

При этом в Caesars Entertainment признают, что не могут предоставить никаких гарантий относительно дальнейших действий злоумышленников, и не исключают возможности того, что хакеры все равно могут продать или опубликовать в сети похищенную информацию о клиентах.

«Мы предприняли шаги, чтобы убедиться, что похищенные данные удалены неавторизованным субъектом, но не можем гарантировать результат. Мы следим за ситуацией в интернете и [пока] не обнаружили никаких признаков того, что эти данные распространяют дальше, опубликованы [в открытом доступе] или использованы не по назначению», — гласят бумаги.

Хотя в своем отчете Caesars Entertainment не связывает эту атаку с какой-либо конкретной хак-группой, журналисты Bloomberg полагают, что за этим инцидентом может стоять группировка Scattered Spider, которую другие компании обозначают как 0ktapus (Group-IB), UNC3944 (Mandiant) и Scatter Swine (Okta).

По данным исследователей, эта группировка в основном использует социальную инженерию для взлома корпоративных сетей. Так, злоумышленники выдают себя за специалистов технической поддержки (чтобы выманить у пользователей учетные данные), используют атаки на подмену SIM карты (чтобы захватить контроль над нужным телефонным номером), а также фишинг и другие методы (чтобы обойти многофакторную аутентификацию).

При этом считается, что основной состав Scattered Spider — это англоговорящие подростки в возрасте от 16 до 22 лет, и в целом группировка очень напоминает Lapsus$, чьи участники использовали похожие методы атак и были примерно того же возраста.

Интересно, что эту же группировку связывают с недавней атакой на MGM Resorts, которая владеет сетями отелей, курортов и казино по всему миру. Атака на MGM Resorts произошла в прошлые выходные, и инцидент привел к отключению многих компьютерных систем компании, включая сайты крупнейших отелей Лас-Вегаса и Нью-Йорка, системы бронирования и некоторые услуги в казино.

Источник: xakep