Nhóm BlackCat/ALPHV, nhóm tấn công ransomware, đã tuyên bố đứng sau sự cố mất kết nối mạng của MGM Resorts vào thứ Ba vừa qua, theo một bài đăng trên malware archive vx-underground. Nhóm này cho biết đã sử dụng chiến thuật kỹ thuật xã hội thông thường hoặc tạo lòng tin từ nhân viên để có thông tin bên trong, nhằm đòi tiền chuộc từ MGM Resorts, nhưng có thông tin cho biết công ty từ chối trả tiền. Cuộc trò chuyện ban đầu đạt được quyền truy cập chỉ mất 10 phút, theo nhóm tấn công.
“Nhóm ransomware ALPHV chỉ cần sử dụng LinkedIn, tìm một nhân viên, sau đó gọi đến bộ phận hỗ trợ”, tổ chức đã viết trong một bài viết trên X. Những chi tiết này đến từ ALPHV, nhưng chưa được các nhà nghiên cứu bảo mật xác nhận độc lập.
Chuỗi khu nghỉ quốc tế đã bắt đầu gặp sự cố hệ thống từ đầu tuần này, khi khách hàng nhận thấy máy đánh bạc tại các sòng bạc thuộc sở hữu của MGM Resorts bị tắt ở Las Vegas strip. Vào sáng thứ Tư, MGM Resorts vẫn có dấu hiệu gặp sự cố, như sự gián đoạn tiếp tục trên trang web. MGM Resort vẫn chưa đưa ra phản hồi, nhưng đã cho biết trong một tuyên bố vào thứ Ba rằng “Các khu nghỉ của chúng tôi, bao gồm nhà hàng, giải trí và cờ bạc, hiện đang hoạt động bình thường”.
Nhóm ALPHV đã có danh tiếng trong cộng đồng an ninh mạng khi được cho là “vô cùng giỏi trong kỹ thuật xã hội để truy cập ban đầu”, theo vx-underground. Từ đó, nhóm thường sử dụng các chiêu trò ransomware để tống tiền mục tiêu, và đã nhắm vào các mục tiêu doanh nghiệp lớn. Vào tháng 7, ALPHV và một threat actor khác là Clop đã liệt kê Estée Lauder, một tập đoàn mỹ phẩm lớn, trên các trang rò rỉ dữ liệu của họ.
The ALPHV/BlackCat ransomware group claimed responsibility for the MGM Resorts cyber outage on Tuesday, according to a post by malware archive vx-underground. The group claims to have used common social engineering tactics, or gaining trust from employees to get inside information, to try and get a ransom out of MGM Resorts, but the company reportedly refuses to pay. The conversation that granted initial access took just 10 minutes, according to the group.
“All ALPHV ransomware group did to compromise MGM Resorts was hop on LinkedIn, find an employee, then call the Help Desk,” the organization wrote in a post on X. Those details came from ALPHV, but have not been independently confirmed by security researchers.
The international resort chain started experiencing outages earlier this week, as customers noticed slot machines at casinos owned by MGM Resorts shut down on the Las Vegas strip. As of Wednesday morning, MGM Resorts still shows signs that it’s experiencing downtime, like continued website disruptions. MGM Resorts has not responded to a request for comment, but said in a statement on Tuesday that “Our resorts, including dining, entertainment and gaming are currently operational.”
ALPHV has a reputation in the cybersecurity community as being “remarkably gifted at social engineering for initial access,” according to vx-underground. From there, it usually uses ransomware ploys to extort a target into paying up, and it’s been going after huge corporate targets. In July, ALPHV and another threat actor Clop listed beauty giant Estée Lauder on their data leak sites.
