# MGM Resorts Attack 2023 > [!high] Engenharia social derrubou um dos maiores cassinos do mundo > Em setembro de 2023, o grupo Scattered Spider comprometeu a MGM Resorts International usando uma ligacao de 10 minutos para o helpdesk de TI - sem explorar nenhuma vulnerabilidade técnica. O ataque resultou em mais de $80 milhões em prejuizos operacionais. ## Visão Geral O ataque a MGM Resorts International em setembro de 2023 se tornou um estudo de caso emblematico sobre os riscos de engenharia social e falhas em processos de identidade corporativa. A MGM, que opera 29 hoteis e resorts de luxo incluindo o Bellagio, MGM Grand e Mandalay Bay em Las Vegas, sofreu 10 dias de interrupcao de sistemas criticos, afetando reservas online, chaves digitais de quartos, maquinas caca-niquel e sistemas de check-in. O ataque foi conduzido pelo [[g1015-scattered-spider]] (também conhecido como UNC3944 ou Roasted 0ktapus), um grupo de jovens hackers anglofones com expertise em engenharia social e identidade. O grupo colaborou com o [[alphv-blackcat-group]] para acesso a infraestrutura de Ransomware-as-a-Service, implantando o [[blackcat]] (ALPHV) nos sistemas da vitima. O caso demonstrou como ataques de identidade - sem exploração de vulnerabilidades tecnológicas - podem causar impacto devastador em empresas com infraestrutura hibrida complexa (on-premises + cloud). Esse padrao de ataque via helpdesk e IAM (Identity and Access Management) e crescentemente relevante para empresas brasileiras e latino-americanas que adotam Azure AD e Okta. ## Como o Ataque Aconteceu ```mermaid graph TB A["LinkedIn - identificação<br/>de funcionario-alvo"] --> B["Vishing - chamada ao helpdesk<br/>10 minutos, reset de MFA"] B --> C["Acesso inicial<br/>Okta + Azure AD admin"] C --> D["Reconhecimento e persistência<br/>Identity Provider adicional (Inbound Federation)"] D --> E["Coleta de credenciais<br/>Dumps de memoria DC, Mimikatz"] E --> F["Exfiltração de dados<br/>Terabytes via RClone/Dropbox"] F --> G["Criptografia ESXi<br/>100+ hipervisores cifrados - 11 Set 2023"] G --> H["Impacto operacional<br/>$80M+ prejuizo, 36h+ downtime"] ``` **Linha do tempo:** - **7 set:** Caesars Entertainment sofre ataque similar, paga ~$15M de resgaté - **8 set:** Scattered Spider liga para o helpdesk da MGM, se passa por funcionario identificado no LinkedIn - **9 set:** Equipe de segurança detecta atividade anomala, tenta desabilitar Okta Sync - **11 set:** ALPHV implanta ransomware em 100+ servidores ESXi após MGM bloquear acesso - **19 set:** MGM declara sistemas restaurados, nove dias após o inicio ## Técnicas e Táticas | Fase | Técnica | Detalhe | |---|---|---| | Reconhecimento | T1591 - Gather Victim Identity | Pesquisa no LinkedIn para identificar funcionarios de TI | | Initial Access | T1656 - Impersonation | Vishing ao helpdesk, reset de MFA via SIM Swapping | | Persistence | T1556 - IAM Manipulation | Criação de Identity Provider adicional via Okta Inbound Federation | | Credential Access | T1003 - OS Credential Dumping | Dump de memoria do Domain Controller para credenciais admin | | Lateral Movement | T1021 - Remote Services | Pivotamento de Okta para Azure AD e infraestrutura VMware | | Exfiltration | T1567 - Exfiltration to Cloud | RClone e Dropbox para exfiltração de terabytes | | Impact | T1486 - Data Encrypted for Impact | ALPHV/BlackCat criptografou 100+ ESXi hosts | ## Impacto - **$80 milhões** em receita perdida por interrupcao operacional - **Mais de 36 horas** de downtime de TI - **10 dias** de disrupcao de sistemas de hospedagem (reservas, chaves digitais, cassinos) - Exfiltração de quantidade desconhecida de dados pessoais de clientes (PII) - Multiplas acoes coletivas ajuizadas contra a MGM por falha na proteção de dados - A Caesars, atacada na mesma semana, pagou estimados $15-30M de resgaté ## Licoes e Relevância para LATAM O ataque da MGM expoe vulnerabilidades criticas presentes em organizacoes de todos os setores: 1. **Fraqueza em processos de helpdesk** - Politicas de verificação de identidade por telefone sao frequentemente contornadas por engenharia social 2. **Risco de identidade hibrida** - Integracao entre Okta/Azure AD e infraestrutura on-prem cria caminhos de pivotamento 3. **VMware ESXi como alvo preferêncial** - Ransomware moderno mira hipervisores para maximizar impacto em minutos 4. **RaaS como servico** - Grupos como Scattered Spider contratam infraestrutura de ransomware (ALPHV) sem precisar desenvolver o malware > [!latam] Relevância para Brasil e LATAM > O padrao de vishing/helpdesk manipulation e crescente no Brasil, com grupos cibercriminosos locais adotando técnicas similares contra bancos e empresas de telecomúnicacoes. A convergencia de Okta + Azure AD em empresas brasileiras de medio e grande porte representa superficie de ataque equivalente a que permitiu o comprometimento da MGM. ## Detecao e Defesa - Implementar verificação **out-of-band** para resets de MFA (nunca por telefone sem confirmacao adicional) - Monitorar criação de novos Identity Providers em Okta/Azure AD (especialmente Inbound Federation) - Alertas para dumps de memoria de Domain Controllers - Segmentar acesso de Okta a infraestrutura VMware via politicas de acesso condicional - Treinar helpdesk em protocolos anti-vishing com cenários de roleplay ## Referências - [1](https://www.morphisec.com/blog/mgm-resorts-alphv-spider-ransomware-attack/) Morphisec - MGM Resorts ALPHV/Spider Ransomware Attack Analysis (2023) - [2](https://www.cyberark.com/resources/blog/the-mgm-resorts-attack-initial-analysis) CyberArk - The MGM Resorts Attack: Initial Analysis (2023) - [3](https://www.lumificyber.com/threat-briefs/scattered-spider-oktapus-unc3944-scatter-swine-mgm-resorts-compromise/) Lumifi Cyber - Scattered Spider MGM Compromise (2024) - [4](https://westoahu.hawaii.edu/cyber/global-weekly-exec-summary/alphv-hackers-reveal-details-of-mgm-cyber-attack/) West Oahu Cyber - ALPHV Hackers Reveal Details of MGM Attack (2023) - [5](https://www.bbrown.com/us/insight/a-look-back-at-the-mgm-and-caesars-incident/) BBrown - Look Back at MGM and Caesars Incident (2024)