Kommentar: Ransomware-Angriff auf MGM Resorts
Am 12. September 2023 wurde MGM Resorts, ein US-amerikanischer Hotel- und Casinobetreiber, Berichten zufolge von einem Ransomware-Angriff getroffen, der mehrere Systeme an wichtigen Standorten in Las Vegas lahmlegte.
Dies führte dazu, dass Gäste aus ihren Zimmern ausgesperrt wurden und weder vor Ort noch über die MGM-Mobil-App Transaktionen durchführen konnten. Die betroffenen Casino-Hotels waren gezwungen, Transaktionen letztendlich manuell abzuwickeln.
Check Point fasst zusammen, was geschehen ist, beleuchtet die Täter und ordnet die Ereignisse mit vergleichenden Zahlen ein:
Zum Zeitpunkt des Vorfalls war die Identität der Angreifer unklar, obwohl auf Social-Media-Plattformen Spekulationen kursierten. Es wurde nun bestätigt, dass die Ransomware-Gruppe ALPHV die Verantwortung übernommen hat. Die Gruppe veröffentlichte eine Erklärung auf ihrer Dark-Web-Seite, in der sie erstmals öffentlich zugab, in den Angriff auf MGM Resorts am 11. September involviert gewesen zu sein. Während der Verhandlungen mit MGM gaben sie keine Auskunft darüber, welche persönlichen Informationen sie extrahiert hatten, teilten jedoch mit, dass sie externe Websites wie haveibeenpwned.com benachrichtigen würden, falls die Verhandlungen nicht zu ihren Gunsten verliefen.
ALPHV und der Aufstieg der Mega-Ransomware
ALPHV, auch als BlackCat bekannt, ist eine etablierte Ransomware-Gruppe, die sich zu einem gut organisierten Unternehmen entwickelt hat, das groß angelegte Angriffe auf namhafte Unternehmen durchführt. Die Gruppe operiert über Ransomware-as-a-Service (RaaS) und trat erstmals Ende 2021 in Erscheinung. ALPHV ist für die Nutzung der Programmiersprache Rust bekannt und hat die Fähigkeit, sowohl Windows- als auch Linux-basierte Betriebssysteme anzugreifen. Die Gruppe wird aktiv in Cybercrime-Foren vermarktet und betreibt ein Partnerprogramm. Eine ihrer bekanntesten Praktiken ist die Weitergabe gestohlener Daten, wenn ihre Lösegeldforderungen nicht erfüllt werden, und sie unterhält zu diesem Zweck mehrere Dark Web-Blogs. ALPHV zählt zu den größten RaaS-Bedrohungsgruppen, die in den letzten 12 Monaten für fast 9 Prozent der auf Dark Web Shame Sites veröffentlichten Opfer verantwortlich waren, knapp hinter cl0p (über 9 Prozent) und Lockbit (21,5 Prozent).
In den letzten 12 Monaten hat ALPHV die Identität von rund 400 Opfern veröffentlicht, die sich geweigert haben, das Lösegeld zu zahlen. Die geografische Verteilung der Opfer entspricht dem typischen Muster im Ransomware-Ökosystem, wobei mehr als die Hälfte der Opfer in den USA ansässig ist. Deutschland ist mit fast drei Prozent der Opfer vertreten. Im August 2023 beobachtete Check Point Research weltweit durchschnittlich 918 wöchentliche Cyberangriffe pro Unternehmen in der Freizeit- und Gastgewerbebranche, wovon 396 in den USA stattfanden. Dies platzierte die Branche im ersten Halbjahr auf dem 11. Platz der am häufigsten angegriffenen Sektoren. ALPHV hat Opfer in verschiedenen Branchen im Visier, darunter das verarbeitende Gewerbe, das Gesundheitswesen und die Rechtsbranche.
Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Research, äußerte sich zu dem Vorfall: „Der Vorfall unterstreicht erneut den wachsenden Trend, dass Ransomware-Angreifer sich auf die Erpressung von Daten konzentrieren und Nicht-Windows-Betriebssysteme ins Visier nehmen. Das Modell von Ransomware-as-a-Service (RaaS) erweist sich weiterhin als äußerst erfolgreich und vereint eine leistungsstarke technologische Infrastruktur für Angriffe mit versierten und ausgefeilten Partnern, die Wege finden, in große Unternehmen einzudringen. MGM sollte seine Hotelgäste und Besucher darüber informieren, welche Informationen möglicherweise preisgegeben wurden. Dieser Fall ist ein weiteres abschreckendes Beispiel für alle Organisationen, ihre Zugangskontrollen regelmäßig zu überprüfen und sicherzustellen, dass sie durchgängige Sicherheitsverfahren implementiert haben.“
Die vollständige Erklärung der Täter und weitere Informationen sind hier erhältlich.