MGM Cyberattack Emphasizes Need for Layered Defenses

越来越大胆和老练的网络罪犯的胜算越来越大, 正如米高梅国际度假村和凯撒娱乐本周了解到的那样, 这意味着组织需要多层防御并提高对社会工程策略的警惕.

MGM Resorts, 谁在拉斯维加斯拥有并经营多家酒店/赌场, including the Bellagio, Mandalay Bay and Luxor, along with other properties around the country, 周日报告了“影响公司部分系统的网络安全问题”, Sept. 10 in a social media post.

这个问题促使米高梅在处理入侵并与执法部门合作期间关闭了部分系统. As a result, guests could not use digital hotel room keys, casino gaming was shut down, bars and restaurants could only accept cash, and MGM hotels could not accept new reservations, per news and social media reports.

As of Monday, Sept. 11, MGM said systems were again “operational,但有关业务中断和客人不满的报道仍在继续.  这家酒店连锁店没有证实任何其他细节，但向美国国税局提交了一份8-K表格.S. Securities and Exchange Commission (SEC) on Sept. 13 alerting regulators to the event. 米高梅的消息传出后不久，就有报道称 a ransomware event hitting casino operator Caesars Entertainment. The company also filed an 8-K with the SEC, 表明网络罪犯窃取了一些客户数据.

What happened?

在网络安全领域备受信任的恶意软件研究组织VX-Underground本周早些时候报告称，与ALPHV/黑猫勒索软件即服务团伙有关的威胁行为者似乎是此次攻击的幕后黑手. This particular threat group, also known as Scattered Spider and UNC3944, 被认为对Reddit和西部数据进行了攻击，并且擅长社交工程.

这些策略使他们能够欺骗米高梅的IT团队重置员工的凭据和多因素身份验证(MFA)密钥, say security experts.

“ALPHV勒索软件集团入侵美高梅度假酒店所做的一切都是在领英上进行的, find an employee, then call the Help Desk,” said VX-Underground in an X (formerly Twitter) post. “一家价值339亿美元的公司被一场10分钟的谈话打败了.”

威胁演员自己声称对9月11日星期四米高梅的袭击负责. 14. 他们宣布他们在9月11日星期五进入了米高梅的系统. 8, 尽管米高梅在周一关闭了系统，但他们还是能够部署勒索软件, Sept. 11. 他们还指控米高梅没有回应，并警告称，他们仍然“可以进入米高梅的一些基础设施”，如果米高梅拒绝与他们打交道，他们将进行更多的攻击.

虽然米高梅几天的停工似乎是最坏的情况, 如果这家酒店巨头没有察觉到入侵迹象，并通过关闭系统来迅速采取补救措施，情况可能会更糟.

“MGM was probably ahead of the game,” Jason Rebholz, Corvus保险公司首席信息安全官(CISO, told Front Page News. “大多数公司甚至没有能力做出这样的决定，因为他们没有意识到这一点. 如果他们没有发现这一点，我们将看到比这更糟糕的10到20倍.”

米高梅决定将其系统下线，使该公司得以在更可控的环境中恢复, according to Rebholz. 虽然这是一个“激烈的步骤”，但这是对“几乎不可能的情况”的回应.”

“The odds are stacked in the attackers’ favor. 这就是为什么网络安全是一场如此艰难的游戏,” said Rebholz, adding, “In any security incident, there’s going to be something that goes wrong.”

That said, 无论是米高梅(MGM)这样规模的企业，还是一家店面，在防范网络事件方面都不能“束手投降”，认为一切都将失去.

“最令人担忧的是，人们看到这一点后，会把注意力集中在他们的系统宕机这一事实上, and they still got infected,” he said.

Redoubling defenses

Rebholz敦促各组织加强网络防御，因为有针对性的攻击和更复杂的网络钓鱼活动出现了. 组织需要确定他们最关键的资产，并在日常基础上保护它们, he said.

“It’s an endless game of survival,” Rebholz said. “你必须继续就当前的威胁对你的员工进行培训. 这一切都始于用户看到可疑的东西.”

For the insurance industry, 勒索软件的增加应该会促使承销商加倍努力, rather than relax, 他们为促进被保险人良好的网络卫生所做的努力.

“This is going to be an impactful event,” Rebholz said. “Ransomware is increasing in velocity. 当我们开始看到问题的严重性时，我们必须问——我们是否需要正确的控制?”

Weaker forms of MFA can be bypassed, 需要多层安全和验证, he noted.

“Defense-in-depth is key here. You can’t rely on a single control. 假设其中至少有一个会失败。. “这样你就能更好地预防、缓解或至少对这样的事件做出反应.”

本网络更新的内容不应被视为法律建议，也不应被视为法律建议. 与他们可能遇到的任何特定问题有关, readers are advised to seek specific advice. © 2023 Zywave, Inc. All rights reserved.