Étude de cas – MGM resort

1. MGM RESORTS HACK: HOW ATTACKERS HIT THE JACKPOT WITH SERVICE
DESK SOCIAL ENGINEERING

Hotel and entertainment giant MGM Resorts have been left reeling after a serious cyber-attack that
kicked off with a fraudulent call to their Service Desk. Since last week, there’s been a struggle to get
systems back online after widespread outages across its famous Las Vegas properties, including the
MGM Grand, Bellagio, Aria, and Cosmopolitan.

The attack has reportedly led to outages of their internal networks, ATMs, slot machines, digital room
key cards, and electronic payment systems. Even TV services and phone lines have been taken down,
and staff are having to rely on pen and paper to deal with large queues of guests.

2. ATTACK SUMMARY

• Who was targeted: MGM Resorts

• Attack type: Ransomware, Data exfiltration

• Entry technique: Social engineering (vishing of service desk), Privilege escalation

• Impact: System outage, Operational disruption, Data breach (possibly more, attack ongoing)

• Who was responsible: Scattered Spider/UNC3944 (believed to subgroup of ALPHV

3. HOW DID THE ATTACK HAPPEN?

Scattered Spider (also known as UNC3944) have claimed responsibility for the attack and said they’ve
been in MGM Resorts’ systems since 9/8/23. They’re believed to be a subgroup of the larger ALPHV
ransomware group. The hackers have told vx-underground that they used social engineering as an
initial entry point. They were able to find an MGM Resorts employee on LinkedIn, impersonate them,
and call the organization’s service desk to ask for access to their account. This suggests that they
didn’t have a system to enforce end user verification at the service desk. After initial entry, they gained
administrator rights and proceeded to deploy a ransomware attack.
In a statement titled ‘Setting the record straight’ posted on 9/14/23, the hacker group gave a detailed
explanation of how the attack played out: “MGM made the hasty decision to shut down each and every
one of their Okta Sync servers after learning that we had been lurking on their Okta Agent servers
sniffing passwords of people whose passwords couldn’t be cracked from their domain controller hash
dumps. Resulting in their Okta being completely locked out. Meanwhile we continued having super
administrator privileges to their Okta, along with Global Administrator privileges to their Azure tenant.

“On Sunday night, MGM implemented conditional restrictions that barred all access to their Okta
(MGMResorts.okta.com) environment due to inadequate administrative capabilities and weak incident
response playbooks. Their network has been infiltrated since Friday. Due to their network engineers’
lack of understanding of how the network functions, network access was problematic on Saturday.
They then made the decision to “take offline” seemingly important components of their infrastructure
on Sunday.

“After waiting a day, we successfully launched ransomware attacks against more than 100 ESXi
hypervisors in their environment on September 11th after trying to get in touch but failing. This was
after they brought in external firms for assistance in containing the incident.”

It’s not yet known what data was exfiltrated or what the knock-on impact may be, although ALPHV
have been known to post stolen files on the dark web in the past. Neither does it sound like Scattered
Spider are ready to give up.

“We still continue to have access to some of MGM’s infrastructure. If a deal is not reached, we shall
carry out additional attacks. We continue to wait for MGM to grow a pair and reach out as they have
clearly demonstrated that they know where to contact us.”

4. ANALYSIS: WHAT CAN WE LEARN FROM THE MGM RESORTS HACK?

Firstly, it’s important to note this isn’t a one-off case. MGM Resorts aren’t even the first casino group
to be targeted in the last two months. We’ve seen other recent serious breaches where service desks
have been targeted through social engineering – there was an eerily similar incident in 2021 with the
EA Games breach.

From the information available, the key to preventing this incident was avoiding the initial access. This
attack could have been avoided with better authentication protocols which would have allowed the
service desk to verify that the ‘locked out employee’ was not who they claimed to be. According to the
sources, the attacker was able to vish (phishing via voice call) a service desk agent without being
forced to authenticate themselves via another factor.

It’s also interesting to note that the hackers claim this was not initially planned as a ransomware attack
and became one due to ‘revenge for bad faith negotiation’. This shows the risk of a prolonged and
escalating attack from a threat actor. In this case, it’s possible that the attackers could have been
detected during their initial reconnaissance phases before they ‘went nuclear’ with the ransomware

2
attack. Detecting common ransomware toolkits isn’t enough – organizations need a comprehensive
view of their whole environment through a combination of tools, such as PTaaS, EDR, and SIEM.

Source : https://specopssoft.com/blog/mgm-resorts-service-desk-hack

5. QUESTIONS

1° - En utilisant les critères DICT, qualifiez les différentes vulnérabilités exploitées par les
attaquants de MGM :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

2°- Quels ont été selon vous les erreurs commises par MGM lors de la réponse à incident :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

3°- Dans la partie 4 de l’article, il est dit que l’attaque aurait pu être évité avec de meilleurs
protocoles d’authentification. Comment implémenter un système d’authentification support
protégeant d’une attaque VISH :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

3
…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

4°- Selon vous et au vu des informations relaté dans l’article, quel a été le schéma de
compromission complet de l’attaque :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

5°- Dans le cas d’une attaque de Ransomware sur votre système, pourquoi payer la rançon
n’est en AUCUN cas une bonne solution :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

4
 Étude de cas n°2 – Ransomware du CHU de Rouen

Vendredi 15 novembre 2019, alors que la journée de travail s’achève, l’alerte est donnée par un
simple appel au support informatique. Un interne du service des urgences de l’antenne de Saint-Julien
se plaint de ne plus avoir accès à une application métier. Très vite, ce qui paraît n’être qu’un incident
d’exploitation va tourner au cauchemar : le CHU est victime d’un pirate informatique en train de
disséminer un cryptolocker sur toutes les machines à sa portée.

« Suite à l’appel à notre astreinte DSI de niveau 1, notre procédure standard prévoyait une connexion
sur la console de supervision pour évaluer la situation », raconte Cédric Hamelin, RSSI adjoint du
CHU de Rouen. « Notre agent d’astreinte a constaté de multiples problématiques de connexion et a
procédé à l’escalade de l’incident jusqu’au niveau 3. Très rapidement, nous avons constaté que
beaucoup de nos applications étaient rendues inopérantes. Nous n’avions eu aucune alerte en amont,
nous étions alors à l’aveugle lors de cette phase ».

I - Une cellule de crise en place 2 heures après l’incident de sécurité

Ce constat alarmant de l’état du système d’information du CHU entraîne la formation quasi immédiate
d’une cellule de crise et le rappel du personnel. En effet, les premières constatations font état d’une
attaque de grande ampleur, car le RSSI découvre des fichiers chiffrés tant sur les serveurs de
production métier que sur des postes de travail.

Le rappel du personnel est alors très rapide. En moins de 2 heures, 20 personnes ont rejoint la cellule
de crise. Elles seront 30 au plus fort de l’événement. Il est vendredi 15 novembre, 21h30,
Sylvain François, DSI du CHU de Rouen prend la tête de la cellule de crise. Le DSI explique ses
premières actions : « nous avons rapidement dispatché les équipes sur différents pôles de
compétences, notamment techniques pour endiguer le virus, puis remédier à l’incident. Ma mission a
été d’assurer la coordination de la cellule de crise en lien avec les instances internes et externes de
l’établissement, Ministère de la Santé et l’ANSSI ».

Le DSI assure le pilotage de la cellule de crise et le RSSI et son adjoint ont une place dans la
gouvernance. La coordination technique étant assurée par le DSI adjoint, Yan Chevrel. Le RSSI devait
assurer la fluidité de la communication avec le Directeur de la Communication ainsi qu’avec les
métiers et les instances FSSI (Fonctionnaire de Sécurité des Systèmes d’Information) et l’ANSSI.

Très rapidement, le HFDS (Haut Fonctionnaire de Défense et de Sécurité) est prévenu, de même que
le CERT de l’ANSSI sur lequel le RSSI va pouvoir s’appuyer, notamment dans la phase d’identification
puis de remédiation. Le DSI ajoute : « nous avons rapidement déclaré un événement grave de
sécurité sur le portail national, ce qui nous a permis d’être mis en relation très rapidement avec les
équipes de l’ANSSI notamment. Le ministère a aussi rapidement réagi de même que des personnes
de l’Agence Régionale de Santé qui sont venues nous apporter leur aide ».

5
« Nous avons rapidement déclaré un événement grave de sécurité sur le portail national, ce qui nous
a permis d’être mis en relation très rapidement avec les équipes de l’ANSSI notamment. »Sylvain
FrançoisDSI, CHU Rouen

Dans cette phase, il est important de définir une bonne gouvernance afin de coordonner le travail des
différentes équipes, mais aussi mesurer l’effort, car l’éradication de la menace puis la remédiation
imposent un travail sur plusieurs jours et donc organiser un roulement des équipes. « Il faut aussi bien
dispatcher les compétences aux bons endroits et au bon moment pour pouvoir avancer le plus
rapidement possible sur les différentes opérations. Il faut aussi ne pas négliger la phase
communication qui est très importante lors de ce type d’événement ».

II - La phase d’identification de la menace réserve une surprise au RSSI

La première action de la cellule de crise est bien évidemment de se livrer à un état des lieux de
l’attaque et identifier plus précisément de quel type d’attaque il s’agit. Très vite il apparaît qu’il s’agit
d’un ransomware fonctionnant avec un service Windows et un exécutable permettant de chiffrer les
documents sur les serveurs et postes de travail. « Nous avons réussi très rapidement à rendre
l’attaque inopérante, mais cette phase d’identification nous a permis de constater qu’un attaquant
s’était emparé d’un contrôleur de domaine et était en train de propager son ransomware de manière
manuelle et effectuant une élévation de privilège via des comptes de notre Active Directory ».

Cette phase d’identification est menée entre 21 h 45 et 22 h 30 et, en parallèle, le RSSI organise le
cloisonnement du système d’information pour contenir la menace. Le DSI doit prendre la décision de
couper tous les flux Internet pour isoler le système d’information de l’extérieur, puis vers minuit la
décision est prise de couper tous les flux internes pour éviter tout risque de propagation
du malware sur des serveurs encore sains.

Enfin, toutes les sauvegardes sont arrêtées afin de préserver les sauvegardes le plus longtemps
possible. Dès les phases initiales de traitement de l’attaque, il faut penser à la remédiation et la
restauration des données afin de pouvoir remettre en ligne les applications le plus vite possible.
L’objectif fixé était de restaurer les services critiques a minima dès le dimanche soir, puis s’attacher à
restaurer les applications relatives à l’administration du CHR le lundi. « Dès le mardi suivant l’incident,
nous avions de 60 à 70 % des applications touchées qui avaient été restaurées », ajoute le RSSI
adjoint Cédric Hamelin.

III - Des machines Linux épargnées par l’attaque

Heureusement pour la DSI, seuls les systèmes Windows ont été affectés, bien que ceux-ci soient à
jour en termes de patchs de sécurité et tous dotés d’antivirus. « Cela n’a pas empêché l’attaquant de
propager son ransomware », déplore Cédric Hamelin qui a néanmoins bénéficié du fait que les
serveurs Linux n’ont pas été affectés par l’attaque, ce qui a mis à l’abri toutes les bases de
données Oracle du CHU.

« Nous avions comme stratégie de ne pas concentrer toutes nos applications sur un seul type de
serveur. Un cloisonnement réseau était en place ainsi qu’une séparation entre applications métiers
sous Microsoft Windows et des bases de données Oracle sous Linux. Cette stratégie de ne pas faire

6
tourner l’intégralité du système d’information sur une seule technologie a permis d’éviter que le
système d’information ne soit impacté par l’attaque dans sa totalité ».

Autre choix pertinent du CHU de Rouen, isoler son réseau de téléphonique IP (ToIP) de son réseau
IT. Celui-ci n’a pas été affecté par l’attaque, ce qui n’a rien d’un détail, car la communication va
rapidement s’imposer comme un problème important à gérer par la cellule de crise.

« Notre messagerie était rendue inopérante, donc nous n’avons pas pu envoyer un email pour
informer le personnel de la situation », explique Cédric Hamelin. « Le pilote de la cellule de crise a
alors décidé d’être parfaitement transparent et d’envoyer du personnel sur le terrain auprès des
services critiques, notamment les urgences, la stabilisation, les plateaux techniques, les groupes
opératoires pour leur expliquer la situation et accompagner les métiers sur ce qui fonctionne et ce qui
ne fonctionne pas ».

Ces personnes ont alors joué le rôle de relais entre la cellule de crise et les métiers, une démarche
qui a été très appréciée, car les personnels soignants ont vu des personnes sur le terrain et ont pu
constater la réactivité. Une dizaine de personnes venues en renfort à partir de minuit ont ainsi été
déployées sur le terrain pour améliorer la communication qui se faisait alors par téléphone.

IV - La communication de crise, un exercice difficile à gérer

Si la cellule de crise a rapidement pris des mesures fortes pour tenir le personnel du CHU au courant
de la situation et rassurer les soignants sur l’implication de la DSI pendant tout le Week-end, la
communication externe va être bien plus complexe à gérer.

« Nous avons mis la communication externe un peu de côté lors du week-end, car nous n’avions pas
de messagerie », reconnaît le RSSI. « Nous avons accordé la priorité à la communication interne,
mais rapidement nous avons vu des communications sur les réseaux sociaux de personnels qui ont
divulgué des informations sur cette attaque, puis des articles publiés dans la presse. Parfois des
informations qui étaient vraies, parfois des informations qui étaient préjudiciables pour
l’établissement ».

Tout le week-end, la cellule de crise s’est attachée à restaurer les applications critiques nécessaires
à la prise en charge les patients dans les meilleures conditions, mais dès le lundi matin celle-ci
organise sa communication auprès de la presse. « J’ai accompagné notre Directeur de la
Communication pour qu’il publie un premier communiqué de presse sur notre site internet et les
réseaux sociaux. Enfin, j’ai fourni des éléments de réponse pour les journalistes afin de rassurer le
public vis-à-vis de la réalité du terrain ».

Après deux journées très compliquées pour le personnel de l’établissement, la DSI est parvenue à
rétablir une activité quasi normale dès la semaine suivante. La communication a pu prendre le relais
pour adopter un discours positif, expliquer ce qui a été fait et montrer la dynamique qui a pu être mise
en place pour faire face à cette crise.

Dressant un bilan de cette crise, Cédric Hamelin en retire quelques points positifs : « avec le recul, je
dirais que cette crise a été bénéfique sur plusieurs plans. Celle-ci a ressoudé la communication entre
les équipes de la DSI et démontré que chacun avait un rôle à jouer dans une attaque de cette ampleur.

7
Le lundi une centaine de personnes ont accompagné les équipes qui étaient là depuis le début du
Week-end. De même, suite à cette crise nous avons un lien plus fort avec le DSI adjoint, une écoute
qui continue aujourd’hui et s’est améliorée au fil du temps ».

Source : https://www.lemagit.fr/etude/CHU-de-Rouen-autopsie-dune-cyberattaque

Questions

1°- En quoi la réponse à incident effectuée par les équipes du CHU de Rouen a été efficace :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

2° - Comment un attaquant fait-il pour contaminer via un Ransomware l’ensemble d’un SI

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

3°- Quelles méthodes préventives les équipes IT du CHU de Rouen auraient pu mettre en place
en amont pour que l’attaquant ne puisse réaliser son attaque/intrusion :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

8
…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

4°- En quoi le fait de se rapprocher des équipes « métier » et de terrain peut permettre
d’améliorer la sécurité du SI :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

5°- Qui contacter en cas d’attaque avéré sur le SI pour être assisté dans la réponse à incident :

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….

…………………………………………………………………………………………………………………….