Em um movimento sem precedentes, o grupo de ransomware ALPHV assumiu publicamente a responsabilidade pelo recente ataque ao MGM Resorts, em Las Vegas, nos Estados Unidos, publicando uma declaração em seu site na Dark Web. A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point, informa que o ALPHV evoluiu para se tornar uma operação bem organizada que realiza ataques em larga escala a empresas de alto perfil.
No último dia 12 de setembro de 2023, o MGM Resorts foi supostamente submetido a um ataque de ransomware que deixou vários sistemas off-line em alguns de seus principais locais em Las Vegas. O ataque deixou os hóspedes trancados pelo lado de fora de seus quartos e incapazes de realizar transações no local e por meio do aplicativo móvel MGM. Eventualmente, os hotéis cassinos afetados tiveram que processar as transações manualmente.
O ALPHV é um dos principais grupos de ameaças RaaS (Ransomware as a Service), responsável por quase 9% de todas as vítimas publicadas nos últimos 12 meses em sites da Dark Web; e, nesse período, o ALPHV publicou a identidade de cerca de 400 das suas vítimas que se recusaram a pagar o resgate. A distribuição geográfica das suas vítimas é típica do ecossistema de ransomware, com mais de metade baseada nos Estados Unidos.
“Só podemos especular sobre qual será o seu próximo passo, mas o que sabemos é que grupos organizados como o ALPHV não têm medo de publicar dados se as suas exigências não forem satisfeitas. Independentemente da sua decisão, o MGM Resorts deve manter os hóspedes e visitantes do hotel informados sobre as informações que possam ter sido obtidas. É mais um alerta para todas as organizações verificarem regularmente seus controles de acesso e garantirem que tenham processos de segurança de ponta a ponta em vigor”, ressalta Sergey Shykevich, gerente do grupo de Inteligência de Ameaça da Check Point Research (CPR).
ALPHV e a ascensão do Mega Ransomware
Como muitos grupos de ransomware estabelecidos, o ALPHV evoluiu para se tornar uma operação bem organizada que realiza ataques em larga escala a empresas de alto perfil. ALPHV (também conhecido como BlackCat) é um ator de ameaça de ransomware como serviço (RaaS) que surgiu no final de 2021. É conhecido por usar a linguagem de programação Rust e tem capacidade para atacar sistemas operacionais baseados em Windows e Linux.
O ALPHV é comercializado em fóruns de crimes cibernéticos e opera um programa de afiliados. Algumas afiliadas têm como alvo organizações em diversos setores, incluindo saúde, manufatura e governo. O grupo é conhecido por vazar dados roubados se seus pedidos de resgate não forem atendidos e opera vários blogs Dark Web para essa finalidade.
Segundo a Check Point, em um cenário de ferramentas avançadas de cibersegurança, as organizações precisam exercer uma boa higiene de segurança em redes locais, na nuvem, até o conselho de administração. Existem várias ações que os líderes podem tomar para minimizar a exposição e os potenciais impactos de um ataque.