„Rien ne va plus“ („nichts geht mehr“), verkündet der Croupier beim Roulette, wenn die Kugel rollt und keine Einsätze mehr möglich sind. Auch bei MGM Resorts, einer der beiden großen Casino- und Hotelketten in Las Vegas, ging kürzlich einige Tage lang nichts mehr: Ein Ransomware-Angriff hatte das Netzwerk lahmgelegt. Welche Lehren lassen sich daraus ziehen?
Ein Mann steigt in ein Auto, das Auto fliegt in die Luft, der Mann wird durch selbige geschleudert. So explosiv beginnt „Casino“, Martin Scorseses Filmepos über Aufstieg und Fall des von der Mafia eingesetzten Casino-Managers Sam Rothstein, gespielt von Robert de Niro. Der Mann – Rothstein – überlebt, aber die Szene veranschaulicht, wie es der Mafia im Glücksspiel-Mekka schließlich ergeht, als das FBI ihrer Steuervermeidungs-Abzocke im Hinterzimmer des Casinos auf die Schliche kommt.
Längst hat die von Scorsese episch inszenierte Mafia-Glanzzeit ausgeglänzt – zumindest in Las Vegas. Zwei Konzernfamilien haben das Gros der Casino-Hotels auf dem „Strip“ unter sich aufgeteilt: Caesars Entertainment und MGM Resorts. (Der YouTube-Infokanal Neo hat diese Historie anschaulich aufbereitet.) Beide Konzerne gliederten ihre Liegenschaften an Immobilienfonds aus, die später fusionierten, und pachteten die Hotels/Casinos von dort zurück. Der Grund: Immobilienfonds sind steuerbegünstigt, was die Steuerlast der Casinos erheblich mindert. *So* geht Abzocke heute. In einem Scorsese-Film würde jetzt ein Grüppchen älterer italo-amerikanischer Herren um einen Tisch sitzen und anerkennend nicken.
Nun aber gerieten die Abzockmeister selbst ins Visier von Abzockern: Laut Fachleuten und Medienberichten kaperte die Cybercrime-Gang Alphv (auch BlackCat genannt) bzw. deren „Affiliate“ (Partner) Scattered Spider – die Berichte variieren da etwas – das Netzwerk von MGM. Die gleiche Bande zeichnet wohl auch für einen ähnlichen Angriff auf Caesars Entertainment kurz vorher verantwortlich. Alphv operiert laut Experten wie etwa Check Point nach dem Prinzip „Ransomware as a Service“: Die Gruppe unterhält die Erpressersoftware und -infrastruktur, Affiliates dringen in die Zielnetzwerke ein. Klassische Arbeitsteilung also, wie im Casino.
Angst und Schrecken in Las Vegas
Den Weg zu Jackpot ebnete in beiden Fällen Social Engineering, auf Deutsch Übertölpelung: Die Angreifer übertölpelten einen IT-Support-Dienstleister des Cäsaren-Imperiums und gelangten so an personenbezogene Daten aus dem Kundenbindungs-Programm des Casinos, darunter Sozialversicherungs- und Führerscheindaten – und Letztere dienen in den USA als Personalausweis. Also ein massiver Identitätsdiebstahl – wohl der Grund dafür, dass Caesars den Kriminellen laut Wall Street Journal 15 Millionen Dollar Lösegeld zahlte. Dies war die Hälfte der ursprünglich geforderten 30 Millionen. Gut verhandelt, Cäsar! Die älteren Herren nicken anerkennend.
Ähnlich begann der Einbruch bei MGM vor wenigen Tagen: Hier identifizierten – wiederum laut Medienbericht – die Angreifer auf Linkedin einen IT-Support-Mitarbeiter von MGM, wandten sich in dieser Rolle an den Helpdesk und ergaunerten so Zugang zum Netzwerk. Als MGMs IT-Security misstrauisch wurde, fuhr sie wichtige Server herunter, doch es war zu spät: Alphv hatte bereits die Hoheit über die Authentifizierung (Okta) und die Cloud (Microsoft Azure) der Casino-Kette und verschlüsselte trotz aller Gegenmaßnahmen mehr als 100 VMware-Hypervisoren (somit wohl Hunderte virtuelle Server) mit Ransomware, nachdem die Angreifer auch hier Datenbestände exfiltriert hatten.
Nun brach bei MGM Resorts – die sich weigerten, mit Alphv Kontakt aufzunehmen – ein Chaos aus, wie es Scorsese nicht epischer hätte inszenieren können: Glücksspielgeräte fielen aus, ebenso die Geldautomaten, das Parksystem und die digitalen Hotelzimmerschlüssel. Rund eine Woche lang bekam MGM die Lage nicht in den Griff – und laut Forbes spült das Vegas-Business sonst täglich 13 Millionen Dollar in die Kassen des Konzerns. Eine Woche später (während ich dies schreibe) scheint das meiste wieder zu funktionieren – auch wenn man Hotelzimmer nicht per Web buchen kann und Spielgewinne manuell ausgezahlt werden. „Wie damals bei uns“, sagt ein älterer Herr.
Über den Vorfall wurde so viel spekuliert, dass Alphv sich erstmalig per Bekennerschreiben im Dark Web äußerte. In diesem Text, den der US-Security-Anbieter Malwarebytes auf seinem Blog diskutiert, droht die Gruppe: „Wir haben weiterhin Zugriff auf Teile von MGMs Infrastuktur. Wenn kein Deal zustande kommt, werden wir weitere Angriffe ausführen.“ Doch MGM stellt sich offenbar stur. Die älteren Herren rühren im Espresso und warten geduldig ab.
Leaving Las Vegas
Von Nevada nach Deutschland: Was lernen wir aus der Belagerung der fernen Glücksspiel-Hochburg? Die Security-Anbieter raten wie stets in solchen Fällen zu den eigentlich längst bekannten Maßnahmen. Malwarebytes und Check Point zum Beispiel drängen auf Schritte wie robuste Backups, schnelles Patching, stärkere Nutzer-Authentifizierung, Anti-Ransomware-Lösungen, bessere Bedrohungserkennung und -abwehr sowie Security-Awareness-Trainings.
So wichtig diese Maßnahmen sind: Awareness-Schulungen helfen letztlich oft wenig, wenn gewiefte Angreifer mit Insider-Wissen gezielt Social Engineering betreiben. Security-Anbieter Mandiant empfiehlt deshalb in seiner Analyse von Scattered Spider – hier vergleichsweise prosaisch UNC3944 genannt – Maßnahmen, die Übertölpelungsversuche systematisch erschweren.
Das bedeutet unter anderem, dass der IT-Support die Anforderung eines neuens Passworts oder Authentifizierungs-Tokens nicht per Chat oder Telefon abwickelt – selbst wenn der Anrufer sich durch Personendaten und Kenntnis von Interna ausweist. Mandiant rät hier zur Verifizierung des Anrufers per Videokonferenz und Abgleich mit dem Foto aus der Personalakte, ergänzt um das Vorzeigen des Unternehmens- oder Personalausweises im Call.
Ein solcher Prozess ist umständlich, langsam und lästig – aber sicherer. Wer sich nachhaltig schützen will, muss eben die Ruhe bewahren. Die älteren Herren rühren immer noch im Espresso und nicken wissend.
Denn andernfalls fliegt einem Unternehmen die IT-Sicherheit irgendwann schneller um die Ohren als dem Mafia-Mann Sam Rothstein sein Auto im Film „Casino“. Und dann heißt es plötzlich, begleitet von unerklärlichen, irgendwie schadenfroh klingenden Espresso-Schlürfgeräuschen: Nichts geht mehr.
*****
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
Cartoon: (c) Wolfgang Traub
IT Info 2 Go 