Home » News » Cybersecurity » Kommentar: Ransomware-Angriff auf MGM Resorts

Kommentar: Ransomware-Angriff auf MGM Resorts

Am 12. September 2023 wurde MGM Resorts, ein US-amerikanischer Hotel- und Casinobetreiber, Berichten zufolge von einem Ransomware-Angriff getroffen, der mehrere Systeme an wichtigen Standorten in Las Vegas lahmlegte.

2 Min. Lesezeit
Foto: ©AdobeStock/Jaruwan photo

Dies führte dazu, dass Gäste aus ihren Zimmern ausgesperrt wurden und weder vor Ort noch über die MGM-Mobil-App Transaktionen durchführen konnten. Die betroffenen Casino-Hotels waren gezwungen, Transaktionen letztendlich manuell abzuwickeln.

Check Point fasst zusammen, was geschehen ist, beleuchtet die Täter und ordnet die Ereignisse mit vergleichenden Zahlen ein:

Zum Zeitpunkt des Vorfalls war die Identität der Angreifer unklar, obwohl auf Social-Media-Plattformen Spekulationen kursierten. Es wurde nun bestätigt, dass die Ransomware-Gruppe ALPHV die Verantwortung übernommen hat. Die Gruppe veröffentlichte eine Erklärung auf ihrer Dark-Web-Seite, in der sie erstmals öffentlich zugab, in den Angriff auf MGM Resorts am 11. September involviert gewesen zu sein. Während der Verhandlungen mit MGM gaben sie keine Auskunft darüber, welche persönlichen Informationen sie extrahiert hatten, teilten jedoch mit, dass sie externe Websites wie haveibeenpwned.com benachrichtigen würden, falls die Verhandlungen nicht zu ihren Gunsten verliefen.

ALPHV und der Aufstieg der Mega-Ransomware

ALPHV, auch als BlackCat bekannt, ist eine etablierte Ransomware-Gruppe, die sich zu einem gut organisierten Unternehmen entwickelt hat, das groß angelegte Angriffe auf namhafte Unternehmen durchführt. Die Gruppe operiert über Ransomware-as-a-Service (RaaS) und trat erstmals Ende 2021 in Erscheinung. ALPHV ist für die Nutzung der Programmiersprache Rust bekannt und hat die Fähigkeit, sowohl Windows- als auch Linux-basierte Betriebssysteme anzugreifen. Die Gruppe wird aktiv in Cybercrime-Foren vermarktet und betreibt ein Partnerprogramm. Eine ihrer bekanntesten Praktiken ist die Weitergabe gestohlener Daten, wenn ihre Lösegeldforderungen nicht erfüllt werden, und sie unterhält zu diesem Zweck mehrere Dark Web-Blogs. ALPHV zählt zu den größten RaaS-Bedrohungsgruppen, die in den letzten 12 Monaten für fast 9 Prozent der auf Dark Web Shame Sites veröffentlichten Opfer verantwortlich waren, knapp hinter cl0p (über 9 Prozent) und Lockbit (21,5 Prozent).

In den letzten 12 Monaten hat ALPHV die Identität von rund 400 Opfern veröffentlicht, die sich geweigert haben, das Lösegeld zu zahlen. Die geografische Verteilung der Opfer entspricht dem typischen Muster im Ransomware-Ökosystem, wobei mehr als die Hälfte der Opfer in den USA ansässig ist. Deutschland ist mit fast drei Prozent der Opfer vertreten. Im August 2023 beobachtete Check Point Research weltweit durchschnittlich 918 wöchentliche Cyberangriffe pro Unternehmen in der Freizeit- und Gastgewerbebranche, wovon 396 in den USA stattfanden. Dies platzierte die Branche im ersten Halbjahr auf dem 11. Platz der am häufigsten angegriffenen Sektoren. ALPHV hat Opfer in verschiedenen Branchen im Visier, darunter das verarbeitende Gewerbe, das Gesundheitswesen und die Rechtsbranche.

Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Research, äußerte sich zu dem Vorfall: „Der Vorfall unterstreicht erneut den wachsenden Trend, dass Ransomware-Angreifer sich auf die Erpressung von Daten konzentrieren und Nicht-Windows-Betriebssysteme ins Visier nehmen. Das Modell von Ransomware-as-a-Service (RaaS) erweist sich weiterhin als äußerst erfolgreich und vereint eine leistungsstarke technologische Infrastruktur für Angriffe mit versierten und ausgefeilten Partnern, die Wege finden, in große Unternehmen einzudringen. MGM sollte seine Hotelgäste und Besucher darüber informieren, welche Informationen möglicherweise preisgegeben wurden. Dieser Fall ist ein weiteres abschreckendes Beispiel für alle Organisationen, ihre Zugangskontrollen regelmäßig zu überprüfen und sicherzustellen, dass sie durchgängige Sicherheitsverfahren implementiert haben.“

Die vollständige Erklärung der Täter und weitere Informationen sind hier erhältlich.

Andere interessante News

Cyberabwehr

Abwehr und Wiederherstellung als Grundpfeiler der Cyber-Resilienz

Unternehmen sollten bei ihrer Cyber-Resilienz-Strategie genau wissen, welche Gefahren drohen, welche Schritte sie zur Abwehr priorisieren müssen und wie sie eine schnelle Wiederherstellung von Daten organisieren. Das bedeutet, dass neben dem Schutz vor Angriffen auch die Möglichkeit zur zuverlässigen Datenwiederherstellung entscheidend ist, um eine umfassende Cyber-Resilienz zu gewährleisten.

Datensicherheit in der Cloud

Best Practices für den Schutz von Daten als Service

Heutzutage müssen Unternehmen ihre Kosten senken, Prozesse verbessern und sich vor Cyber-Bedrohungen schützen. Um das zu schaffen, brauchen sie kluge Strategien für die Stabilität von SaaS-Diensten und um in Cloud-Umgebungen vollständige Kontrolle und Sicherheit zu erlangen.

Deepfake-Anrufe

Deepfake-Phishing braucht verstärkte Sensibilisierungsmaßnahmen

Ein Mitarbeiter eines Passwortmanager-Unternehmens wurde kürzlich Ziel eines Deepfake-Phishing-Angriffs, bei dem sich der Angreifer als CEO ausgab. Durch seine Schulung konnte der Mitarbeiter den Betrug rechtzeitig erkennen. Dies verdeutlicht das Risiko solcher Angriffe und die Bedeutung der Mitarbeiterschulung für die Verteidigung von Unternehmen.