Le groupe hôtelier « a pris la décision hâtive de fermer chacun de ses serveurs Okta Sync après avoir appris que nous nous étions cachés dans leurs serveurs Okta Agent pour détecter les mots de passe des personnes dont ceux qui ne pouvaient pas être déchiffrés depuis les données de hachage de leurs contrôleurs de domaine ». BlackCat ajoute, « cela a eu pour conséquence de rendre leur Okta complétement inutilisable ». Le gang tacle aussi le site VX Underground pour avoir « faussement rapporté des événements qui n’ont jamais eu lieu sur les tactiques, techniques et procédures utilisées ».
Une réponse à incident précipitée
Les cybercriminels affirment avoir initialement infiltré le réseau de MGM en exploitant les vulnérabilités de l'agent Okta du groupe, sans déployer de ransomware. Ils ont obtenu des privilèges de super administrateur sur cet agent et des privilèges d'administrateur global sur le tenant Azure. En réponse à cette intrusion réseau MGM a restreint l’accès sous conditions le 8 septembre. Deux jours plus tard, les équipes ont interdit tout accès à leur environnement Okta en raison de « capacités administratives inadéquates et de faiblesse dans les playbooks de réponse à incident ». Et d’ajouter, « en raison du manque de compréhension du fonctionnement du réseau de la part de leurs ingénieurs, l’accès au réseau était problématique le samedi. Ils ont alors pris la décision de « mettre hors ligne » des composants apparemment importants de leur infrastructure le dimanche ». Un blocage qui n’a pas empêché le gang ALPHV de lancé une attaque par ransomware le 11 septembre et de récupérer l’accès à plus de 100 hyperviseurs ESXi.
Des experts comme Bobby Cornwell, vice-président en charge des partenariats stratégiques chez SonicWall, estiment que la décision de la MGM de fermer ses systèmes était justifiée. « Par excès de prudence, MGM a pris la bonne décision en verrouillant tous ses systèmes, même si ses actions devaient entraîner des désagréments pour ses clients », a déclaré Bobby Cornwell.
VX Underground sanctionné pour désinformation
ALPHV a reproché à VX Undergrounds, la société de recherche en cybersécurité qui a été la première à établir un lien entre l'attaque et ALPHV, d'avoir désinformé et simplifié à l'extrême la ou les méthodes déployées lors de l'attaque. « À ce stade, nous n'avons pas d'autre choix que de critiquer VX Underground pour avoir faussement rapporté des événements qui ne se sont jamais produits », a déclaré le gang. « Ils ont choisi de faire de fausses déclarations d'attribution et de les divulguer à la presse alors qu'ils ne sont toujours pas en mesure de confirmer l'attribution avec un degré élevé de certitude après avoir fait cela. Les TTP utilisées par les personnes qu'ils accusent d'être à l'origine des attaques sont connues du public et sont relativement faciles à imiter par n'importe qui », ajoute t’il.
Dans un message publié sur X (anciennement Twitter), VX Underground avait déclaré : « Tout ce que le groupe de ransomware ALPHV a fait pour compromettre MGM Resorts a été de sauter sur LinkedIn, de trouver un employé, puis d'appeler le service d'assistance. Une entreprise évaluée à 33 900 000 000 $ a été vaincue par une conversation de 10 minutes ».