Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Un aperçu de l'attaque cybernétique MGM

Un aperçu de l'attaque cybernétique MGM

Feb 14, 2025

Si vous avez déjà été dans un casino de Las Vegas, alors vous savez qu'ils sont littéralement des machines à faire de l'argent puisque les gens parient en continu sur une variété de jeux. Les casinos modernes incarnent les entreprises transformées numériquement, avec des clients interagissant à travers de multiples canaux digitaux, des systèmes de jeux aux applications mobiles et programmes de fidélité. L'attaque cybernétique du MGM de Las Vegas a clairement montré comment une panne numérique peut rapidement entraîner des conséquences substantielles pour une entreprise en ce qui concerne ses revenus, la satisfaction client et l'image publique.

Le 11 septembre 2023, MGM resorts a publié une déclaration sur X indiquant qu'un « incident de cyber sécurité » affectait certains de ses systèmes. L'incident entraînerait une perte de 100 millions de dollars pour le troisième trimestre de 2023. L'attaque a été orchestrée par deux organisations distinctes connues sous le nom de Scattered Spider et ALPHV. Face à l'importante perturbation de leurs opérations et au potentiel de dommages supplémentaires, la société a dû prendre des décisions difficiles, y compris celle de payer des millions en rançon aux attaquants comme l'a fait son rival Caesars Entertainment.

Netwrix Privilege Secure

Découverte initiale et réponse

Il ne faut pas longtemps pour déterminer que vous êtes dans les affres d'une attaque par rançongiciel. On pense que les attaquants ont d'abord pénétré le réseau le 8 septembre. Le jour suivant, les équipes de sécurité de MGM ont détecté une activité et un trafic inhabituels sur les systèmes de l'entreprise. L'attaque s'est rapidement intensifiée au cours des jours suivants alors que les opérations étaient publiquement perturbées.

MGM Resorts a pris des mesures rapides qui incluaient la fermeture de certains systèmes pour protéger leurs données et leur infrastructure, ce qui a entraîné des perturbations supplémentaires. Reconnaissant la gravité de la situation, MGM a rapidement fait appel à des agences tierces et à des experts en cybersécurité de premier plan pour aider à contenir et à atténuer l'attaque. Ils ont également fait appel aux forces de l'ordre, lançant une enquête immédiate sur la violation.

Comment s'est déroulée l'attaque cybernétique de MGM

Tactiques d'ingénierie sociale utilisées par les pirates

Pour accéder au réseau MGM, Scattered Spider a lancé une attaque d'ingénierie sociale par vishing qui ressemblait à ceci :

  1. Les membres de Scattered Spider ont recherché des employés de MGM sur LinkedIn, rassemblant des informations sur leurs rôles et identités.
  2. En utilisant les informations recueillies, les attaquants ont choisi un employé de MGM à imiter.
  3. Les pirates ont contacté le service d'assistance informatique de MGM, se faisant passer pour l'employé et ont réussi à convaincre le service de leur fournir des identifiants de connexion.
  4. En utilisant les identifiants obtenus, Scattered Spider a obtenu des privilèges d'administrateur sur les environnements Okta et Azure tenant de MGM.
  5. Les attaquants ont utilisé leur accès de haut niveau pour se déplacer latéralement dans les systèmes de MGM.

C'est à ce moment-là que Scattered Spider a fait appel à ALPHV pour déployer leur logiciel de ransomware-as-a-service (RaaS). Ils ont chiffré environ 100 hyperviseurs ESXi au sein du réseau de MGM. Ces serveurs hébergeaient des milliers de machines virtuelles qui soutenaient des systèmes d'hospitalité critiques tels que les machines à sous, les systèmes de réservation en ligne, les clés de chambre numériques et les sites web. ALPHV prétend également avoir exfiltré 6 To d'informations sur les clients pendant cette période, après quoi ils ont entamé des négociations avec MGM pour empêcher la publication publique des données volées. ALPHV a également menacé de divulguer les informations exfiltrées si un accord ne pouvait être conclu.

Impact sur les systèmes et opérations MGM

Les effets de la cyberattaque sur MGM Resorts étaient immédiatement apparents avec des perturbations généralisées dans toute leur organisation :

  • Les opérations de jeu ont été perturbées car les machines à sous se sont déconnectées affichant des messages d'erreur
  • Les clients de l'hôtel se sont plaints que leurs clés numériques de chambre avaient cessé de fonctionner.
  • Les systèmes de réservation et de prise de rendez-vous en ligne ont été fermés
  • Les services mobiles ont été interrompus car l'application MGM est devenue complètement inaccessible.
  • Les systèmes de messagerie ont été affectés
  • Les réservations de restaurant ont été perturbées

Chronologie des événements et durée de l'attaque

La durée totale de l'attaque était d'environ 10 jours. Le calendrier de l'attaque était le suivant :

  • 7 septembre 2023 : Scattered Spider lance une attaque d'ingénierie sociale contre le fournisseur de support informatique de Caesar’s Entertainment.
  • 10 septembre 2023 : MGM Resorts commence à subir des pannes de système.
  • 11 septembre 2023 : MGM divulgue publiquement l'incident et lance une enquête après avoir contacté les forces de l'ordre
  • 12-13 septembre 2023 : Les clients signalent divers problèmes affectant leur expérience.
  • 14 septembre 2023 : Scattered Spider prétend avoir volé 6 téraoctets de données de MGM Resorts et MGM commence la restauration de leurs systèmes.
  • 20 septembre 2023 : MGM confirme la restauration complète des services pour tous ses systèmes.

Les dommages financiers et de réputation

Pertes financières estimées dues à l'attaque cybernétique MGM

Les coûts d'une attaque par rançongiciel peuvent s'avérer extrêmement élevés. Les coûts impliqués incluent les dépenses de mitigation, la perte de productivité, les éventuels procès, l'interruption des affaires et le paiement potentiel de la rançon lui-même. Contrairement à Caesars Entertainment, qui a subi une attaque par rançongiciel à peu près au même moment et a choisi de payer la rançon, MGM a déclaré qu'ils n'ont jamais envisagé cette option. Leur décision de ne pas payer était en accord avec les recommandations d'experts en cybersécurité, d'agences gouvernementales et des forces de l'ordre, qui déconseillaient de telles actions en raison des risques impliqués. MGM a tout de même perdu une estimation de 84 millions de dollars en revenus non perçus. Ils ont également dépensé 10 millions de dollars en dépenses ponctuelles pour des consultations technologiques, des honoraires d'avocats et des conseillers tiers. L'entreprise a aussi dû faire face à des coûts associés à la fourniture de services gratuits et à la restauration des points de programmes de fidélité pour les clients affectés.

Impact sur la réputation de MGM et la confiance des clients

La société MGM Resorts a fait face à une vague de réactions négatives sur les réseaux sociaux alors que les utilisateurs exprimaient leur mécontentement. Reste à voir si cela entraînera une réduction de la fidélité et de la confiance des clients. La récupération de MGM a été aidée par l'arrivée opportune de la course de Formule Un très médiatisée peu après l'incident, ce qui a contribué à détourner l'attention et à atténuer potentiellement certains dommages à la réputation.

Violation de données et informations compromises

Types d'informations client exposées

Les données exfiltrées pendant l'attaque comprenaient des informations sur les clients de MGM, principalement ceux qui avaient effectué des transactions avec la société avant mars 2019. Cela incluait des informations personnelles telles que les noms, coordonnées, dates de naissance et numéros de permis de conduire. Un plus petit sous-ensemble de clients a peut-être vu leurs numéros de sécurité sociale, passeports ou identifications militaires exposés. Les données personnelles liées aux réservations d'hôtel et aux détails des programmes de fidélité ont également été compromises. Bien que non confirmé, les données des employés ont peut-être aussi été exposées lors de l'attaque.

Mesures prises par MGM pour protéger les clients

Avoir un plan de réponse aux incidents bien défini est crucial pour gérer et atténuer efficacement l'impact d'une cyberattaque. Voici certaines des mesures que MGM a prises immédiatement après l'attaque :

  • Créé un site web ou portail spécifique avec des informations sur la violation
  • Diffusion de déclarations publiques et de mises à jour par divers canaux pour garantir la transparence
  • Services de surveillance de crédit gratuits fournis
  • Offert une protection contre le vol d'identité pour les clients et employés affectés
  • Mise en place d'un centre d'appels dédié pour répondre aux préoccupations et questions des clients

Conséquences juridiques et poursuites des clients

Recours collectifs contre MGM

Plusieurs poursuites ont été intentées contre MGM comme celle-ci. Les allégations de ces procès soutiennent qu'en tant qu'opérateur mondial de premier plan de casinos et d'hôtels, MGM n'a pas mis en place des mesures de cybersécurité adéquates pour protéger les données des consommateurs. Ils allèguent que le plaignant a stocké des informations sensibles sur les clients sans un cryptage approprié et qu'Okta avait auparavant alerté l'entreprise sur des risques de sécurité potentiels, suggérant que MGM n'a pas tenu compte de ces avertissements. Les poursuites recherchent diverses formes de compensation, y compris :

  • Dommages-intérêts monétaires
  • Remboursement pour la protection potentielle contre le vol d'identité
  • Couverture des dépenses liées à la protection des informations personnelles
  • Dommages-intérêts punitifs pour négligence alléguée

Examen réglementaire et problèmes de conformité

MGM a correctement divulgué l'attaque informatique et son impact financier potentiel dans les déclarations SEC, comme requis pour les sociétés publiques. La FTC a lancé une enquête sur les pratiques de sécurité des données de MGM suite à l'attaque, cependant, MGM a intenté une action en justice contre la FTC, affirmant que l'enquête dépasse l'autorité de l'agence. La société allègue également un conflit d'intérêts, car la présidente de la FTC, Lina Khan, a été personnellement affectée par l'attaque informatique lors de son séjour dans une propriété MGM. Plusieurs régulateurs d'État enquêtent sur l'incident. Plusieurs organismes de régulation d'État ont lancé des enquêtes sur l'incident de l'attaque informatique de MGM. Bien que les agences spécifiques n'aient pas été nommées, il est probable que le Nevada Gaming Control Board soit impliqué dans l'enquête.

Leçons apprises et mesures de cybersécurité futures

Améliorations dans la stratégie de cybersécurité de MGM

Pour renforcer leur posture de cybersécurité, l'entreprise a réalisé une évaluation approfondie de ses systèmes et processus de cybersécurité existants. Ils ont ensuite mis en œuvre des mesures de sécurité supplémentaires qui comprenaient :

  • Amélioration des contrôles d'accès et des processus d'authentification
  • Segmentation de réseau améliorée
  • Systèmes de détection et de prévention des intrusions améliorés
  • Renforcement des pratiques de chiffrement des données

De plus, MGM a également annoncé des projets d'investissement allant jusqu'à 40 millions de dollars dans des améliorations informatiques pour l'année suivante.

L'importance des plans de réponse aux incidents

Les actions rapides de MGM indiquent clairement qu'ils disposaient d'un plan de réponse aux incidents bien structuré. Leur réponse rapide comprenait :

  • Faire appel à des experts en cybersécurité et à des agences d'application de la loi
  • Mobiliser les professionnels de l'IT pour contenir la brèche
  • Tentative d'empêcher la propagation du rançongiciel
  • Communication opportune et transparente avec les clients affectés

MGM a rapidement reconnu la gravité de l'attaque et a pris la décision cruciale de fermer les systèmes numériques essentiels pour isoler l'attaque. Bien que cela ait initialement provoqué une perturbation opérationnelle, cela a empêché l'exfiltration de données supplémentaires et limité la propagation potentielle du rançongiciel. Cette approche proactive a démontré l'importance d'avoir un protocole prédéfini pour l'isolement rapide des systèmes lors d'un incident de cybersécurité.

Implications plus larges pour l'industrie de l'hôtellerie

L'attaque cybernétique contre MGM Resorts a exposé la dépendance du secteur aux systèmes numériques interconnectés pour ses opérations. À mesure que le secteur intègre de plus en plus de technologies numériques pour gérer les réservations, les programmes de fidélité et les systèmes de paiement, il devient une cible privilégiée pour les cybercriminels. L'attaque a montré à quelle vitesse plusieurs services peuvent être perturbés. Pour faire face au risque accru, le secteur doit mettre en œuvre des mesures de sécurité complètes, tester continuellement ses défenses et faire les ajustements nécessaires.

Comment Netwrix peut aider

Netwrix dispose d'une suite complète de solutions de sécurité qui peuvent protéger vos organisations contre des attaques telles que l'attaque cybernétique du MGM Grand. Voici quelques exemples :

  • Netwrix Privileged Access Management peut arrêter les attaquants se déplaçant latéralement dans votre environnement en éliminant les privilèges permanents. Plutôt que des comptes statiques qui sont vulnérables lorsqu'ils ne sont pas utilisés, Netwrix vous permet de créer des comptes temporaires juste-à-temps avec juste assez d'accès pour effectuer la tâche à accomplir. Une fois la tâche terminée, le compte est supprimé. Cela peut également vous aider à surveiller toutes les activités administratives en temps réel à travers de multiples systèmes informatiques.
  • Netwrix Auditor peut détecter les failles de sécurité dans les données et l'infrastructure, telles que des permissions directes excessives ou un nombre important d'utilisateurs inactifs et aider à prendre des mesures correctives pour minimiser votre surface d'attaque. En consolidant toutes les alertes d'activités anormales déclenchées par un individu dans une vue globale, vous pouvez rapidement identifier les initiés potentiellement malveillants ou les comptes compromis.
  • Le logiciel Netwrix Data Classification peut trouver tout le contenu sensible éparpillé dans votre organisation afin que vous puissiez en prioriser la sécurité. Il peut automatiquement mettre en quarantaine les données critiques ou sensibles stockées dans des emplacements non sécurisés ou accessibles par de larges groupes ouverts.

Netwrix utilise le user activity monitoring pour signaler les accès non autorisés ou excessifs aux comptes privilégiés, détectant lorsqu'un utilisateur accède à des systèmes ou des données avec lesquels il n'interagit généralement pas. File integrity monitoring identifie les modifications non autorisées de fichiers clés ou de configurations. Netwrix propose également des outils de reporting de conformité pour aider MGM à rester en accord avec les normes et réglementations de l'industrie.

Sécurité des informations sensibles : Stratégies pour protéger les données critiques

En savoir plus

FAQ

Que s'est-il passé avec la cyberattaque MGM ?

L'attaque cybernétique du MGM de Las Vegas en septembre 2023 nous a donné un aperçu de la manière dont une seule attaque peut perturber considérablement les opérations d'une entreprise numérique. L'attaque a été initiée par un groupe appelé Scattered Spider qui a utilisé l'ingénierie sociale pour se faire passer pour un employé ciblé et convaincre le service d'assistance informatique de fournir des identifiants de connexion, ce qu'ils ont fait. Cela a permis aux attaquants d'infiltrer les systèmes de réseau de MGM, à quel point ils ont confié les opérations à un groupe de rançongiciels appelé ALPHV qui a ensuite exfiltré des données et chiffré des systèmes critiques. L'attaque a fini par coûter à MGM une estimation d'environ 100 millions de dollars en revenus perdus, frais juridiques et autres dépenses.

Que s'est-il passé lors de l'attaque cybernétique à Las Vegas en 2023 ?

Deux organisations de cybercriminels ont coordonné une attaque contre deux grands casinos de Las Vegas en septembre 2023, y compris le MGM Grand. Pour le MGM, l'attaque a perturbé les opérations, entraînant la mise hors ligne des machines à sous, l'arrêt de fonctionnement des clés de chambre numériques et la fermeture des systèmes de réservation en ligne. Les systèmes de messagerie ont été affectés et de nombreux services mobiles, y compris l'application MGM, sont devenus inaccessibles.

Qui est à l'origine du piratage de MGM ?

Le piratage de MGM est attribué à deux principaux groupes. Le premier était Scattered Spider, une organisation de piratage spécialisée dans les attaques d'ingénierie sociale. Ils sont connus pour leur maîtrise de l'anglais, ce qui aide dans leurs tentatives de vishing convaincantes. La deuxième organisation était ALPHV, également connue sous le nom de BlackCat. Il s'agit d'une opération de ransomware-as-a-service basée en Russie et c'est elle qui a fourni le ransomware responsable de l'attaque principale. On pense que ces deux organisations ont un certain type d'affiliation l'une avec l'autre.

L'attaque cybernétique sur MGM est-elle terminée ?

Alors que l'attaque qui a eu lieu sur une période de dix jours en septembre 2023 est terminée, les conséquences de l'attaque persistent encore. MGM fait face à plusieurs actions collectives liées à la violation et plusieurs agences réglementaires mènent des enquêtes séparées sur l'attaque. MGM s'est également engagé à investir 40 millions de dollars dans des mesures de protection supplémentaires et des améliorations de leur infrastructure informatique.

Les pirates de MGM ont-ils été attrapés ?

Oui, un certain nombre d'arrestations ont été effectuées concernant l'attaque contre MGM. En juillet 2024, un jeune de 17 ans originaire du Royaume-Uni a été arrêté pour sa participation à l'attaque. Les procureurs américains ont dévoilé des accusations criminelles contre cinq prétendus membres de Scattered Spider quelques mois plus tard, en novembre 2024. Scattered Spider est l'une des organisations criminelles impliquées dans l'attaque.

MGM a-t-il payé la rançon ?

MGM Resorts a choisi de ne pas payer la rançon exigée par les pirates informatiques. Cette décision était conforme aux recommandations des experts en cybersécurité, des agences gouvernementales et des forces de l'ordre, qui déconseillaient de telles actions en raison des risques impliqués. Cette approche différait de celle de Caesars Entertainment, qui aurait payé environ 15 millions de dollars au même groupe de hackers. Bien sûr, il est impossible de savoir avec certitude si MGM a payé ou non.

Qu'a-t-on volé chez MGM Resorts ?
Dans le cas de la cyberattaque sur le casino MGM Las Vegas, ce qui a été dérobé était des informations, principalement les informations personnelles de ses clients. Les données compromises comprenaient des noms, des coordonnées et des numéros d'identification tels que le permis de conduire, l'ID militaire et les passeports. Les données personnelles liées aux réservations d'hôtel et aux détails des programmes de fidélité ont également été compromises. Il est également possible que certaines données d'employés aient été exposées lors de l'attaque.

Combien d'argent MGM a-t-il perdu à cause de l'attaque cybernétique ?

Selon un dépôt auprès de la SEC, MGM Resorts a subi une perte de 100 millions de dollars au troisième trimestre 2023 à cause de la cyberattaque. Cela incluait 84 millions de dollars de revenus perdus en raison des opérations perturbées et 10 millions de dollars de dépenses ponctuelles pour la consultation technologique, les honoraires d'avocats et les conseillers tiers. La société pourrait faire face à des pertes supplémentaires futures dues à d'éventuelles récompenses de litiges et des amendes de conformité.

MGM a-t-il payé la rançon de l'attaque par ransomware ?

C'est toujours une décision majeure de payer ou non la rançon pour accélérer la récupération. Dans le cas de l'attaque cybernétique des MGM Resorts, la direction de l'entreprise a décidé de suivre les conseils des experts en cybersécurité, des agences gouvernementales et des forces de l'ordre, qui ont déconseillé de la payer en raison des risques impliqués.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Dirk Schrader

Vice-président de la Recherche en Sécurité

Dirk Schrader est un Resident CISO (EMEA) et VP of Security Research chez Netwrix. Fort d'une expérience de 25 ans dans la sécurité informatique avec des certifications telles que CISSP (ISC²) et CISM (ISACA), il œuvre pour promouvoir la cyber résilience comme approche moderne pour faire face aux menaces cybernétiques. Dirk a travaillé sur des projets de cybersécurité dans le monde entier, commençant par des rôles techniques et de support au début de sa carrière, puis évoluant vers des postes de vente, marketing et gestion de produit chez de grandes multinationales ainsi que dans de petites startups. Il a publié de nombreux articles sur la nécessité de s'attaquer à la gestion des changements et des vulnérabilités pour atteindre la cyber résilience.

En savoir plus sur ce sujet

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Analyse quantitative des risques : Espérance de perte annuelle

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité