Nach einem Cyberangriff im September gab der Casino- und Hotelkonzern MGM bekannt, als Konsequenz werde das bereinigte operative Ergebnis um rund 100 Millionen Dollar niedriger ausfallen. Bei MGM waren für einige Tage unter anderem Geld-, Spiel- und Kreditkartenautomaten sowie Buchungssysteme der Hotels ausgefallen.

An der Konferenz "Global Gaming Expo" in Las Vegas äusserte sich jetzt MGM-CEO Bill Hornbuckle zum Vorfall. Man sei Opfer von "Unternehmensterrorismus vom Feinsten" geworden, das Unternehmen habe jedoch nie daran gedacht, Lösegeld an die Hacker zu zahlen. Die geschäftlichen Aktivitäten von MGM hätten in 8 US-Bundesstaaten "4 oder 5 Tage lang" nicht funktioniert, so Hornbuckle laut 'The Nevada Independent'. Allerdings sei ein Grossteil des Unterbruchs von MGM selbst herbeigeführt worden, um den Verlust von Kundendaten zu verringern.

Wie der Konzern vergangene Woche bestätigte, wurden trotzdem persönliche Daten entwendet. Diese sollen aus Transaktionen vor März 2019 stammen. Man habe die Kunden informiert, diese könnten kostenlos Dienste für Kreditüberwachung und Identitätsschutz in Anspruch nehmen.

Der CEO nannte in Las Vegas Details zum Ablauf des Angriffs. MGM habe den Angriff früh erkannt und sei bereits im "Verteidigungsmodus" gewesen. Doch die Hacker "haben gesehen, wie wir Systeme nach unserem eigenen Plan abgeschaltet haben", sagte Hornbuckle. "Die Kriminellen haben buchstäblich verstanden, was vor sich ging, und haben unseren Plan zunichte gemacht." Die Angreifer hätten sich mehrere Tage lang durch die Systeme von MGM bewegt, bevor sie eine Lösegeldforderung stellten.

'Bloomberg' (Paywall) zitiert den MGM-Chef weiter: "Sie waren in die Arterien des Herzens eingedrungen und konnten alles abwürgen." 4 Wochen nach der Attacke seien die Systeme des Konzerns bis auf "einen Server für Treuepunkte" aber wieder voll funktionsfähig gewesen, sagte Hornbuckle. Und betonte noch einmal, froh zu sein, dass er nicht gezahlt habe.

Auch Security-Experten haben sich zum Angriff geäussert. So schildert das Unternehmen Cyberark in einem Blogbeitrag den mutmasslichen Ablauf. Zuerst habe die Hackergruppe "Scattered Spider" (Storm-0875) einen Social-Engineering-Angriff gestartet. "Mit zusätzlichen Informationen, die aus dem LinkedIn-Profil eines Benutzers gesammelt wurden, hofften sie, den Helpdesk dazu zu verleiten, die Multi-Faktor-Authentifizierung (MFA) des Benutzers zurückzusetzen. Sie waren erfolgreich."

Dadurch sei es den Cyberkriminellen gelungen, die Kontrolle über Okta-Mandanten von MGM und wohl auch über Teile der Cloud-Umgebung von Azure zu übernehmen. Das sei der Moment gewesen, als sie von MGM entdeckt wurden. Doch die Kriminellen reagierten. "Sie zogen die Ransomware-Gruppe Alphv (Blackcat) hinzu. Mit deren Ransomware-as-a-Service-Angebot verschlüsselte Scattered Spider mehrere Hundert ESXi-Server, auf denen Tausende von Virtual Machines gehostet wurden, die Hunderte von Systemen unterstützten." Dies verursachte ein "kaskadenartiges Chaos". Die Geschäftstätigkeit von MGM sei dadurch vorübergehend schwer beeinträchtig worden.