A MGM Resorts encerrou um desligamento de computador de 10 dias motivado por esforços para proteger dados de ataques cibernéticos, incluindo reservas de hotéis e processamento de cartão de crédito, disse a gigante dos cassinos na quarta-feira, enquanto analistas e acadêmicos mediam os efeitos do evento.
“Estamos satisfeitos que todos os nossos hotéis e cassinos estejam operando normalmente”, disse a empresa com sede em Las Vegas. postado em X, a plataforma anteriormente conhecida como Twitter. Foi relatado na semana passada que o ataque foi detectado em 10 de setembro.
A proprietária rival de cassino, Caesars Entertainment, também revelou na semana passada aos reguladores federais que foi atingida por um ataque cibernético em 7 de setembro. Ela disse que seu cassino e operações online não foram interrompidas, mas não poderia garantir que informações pessoais sobre dezenas de milhões de clientes, incluindo carteiras de motorista e números de seguro social de membros de programas de fidelidade não foram comprometidos.
É amplamente divulgado que o Caesars, com sede em Reno, pagou US$ 15 milhões de um resgate de US$ 30 milhões solicitado por um grupo chamado Aranha Espalhada por uma promessa de proteger os dados.
Detalhes sobre a extensão da violação da MGM não foram divulgados imediatamente, incluindo o tipo de informação que pode ter sido comprometida e quanto custou à empresa.
Gregory Moody, professor e diretor do programa de segurança cibernética da Universidade de Nevada, em Las Vegas, apontou estimativas citadas de que o desligamento do computador custou à empresa até US$ 8 milhões por dia, o que poderia colocar o efeito cumulativo em US$ 80 milhões. Mas Moody também observou que a MGM Resorts relata receitas anuais acima de US$ 14 bilhões, o que significaria uma média de receitas de pelo menos US$ 270 milhões por semana.
A empresa informou na quarta-feira que os sistemas que administram serviços de resort, restaurantes, entretenimento, piscinas e spas estavam operacionais e seu site e aplicativo estavam aceitando reservas de restaurantes e spas enquanto a empresa trabalhava para restaurar as funções de reservas de hotéis e recompensas de fidelidade.
“As propriedades da MGM Resorts em Las Vegas e em todo o país voltaram às operações normais”, disse o porta-voz Brian Ahern à Associated Press. A MGM também possui propriedades em Maryland, Massachusetts, Michigan, Mississippi, Nova Jersey, Nova York e Ohio.
A porta-voz do FBI, Sandra Breault, em Las Vegas, recusou-se a comentar e referiu-se a uma declaração anterior da agência dizendo que uma investigação estava em andamento.
Especialistas disseram que os ataques expuseram fraquezas críticas de segurança cibernética na MGM e no Caesars e destruíram a imagem de invulnerabilidade dos cassinos.
“Neste ponto, todos os cassinos deveriam adotar a postura defensiva mais alta possível e tomar medidas ativas para verificar a integridade de seus sistemas e ambiente, e revisar – se não ativar – seus processos de resposta a incidentes”, disse Christopher Budd, diretor de pesquisa de ameaças na empresa de segurança cibernética Sophos X-Ops. “Houve ataques contra vários cassinos e é possível que vejamos mais.”
A Caesars Entertainment é a maior proprietária de cassino do mundo, com mais de 65 milhões de membros de recompensas e propriedades em 18 estados e no Canadá sob as marcas Caesars, Harrah’s, Horseshoe e Eldorado. Também possui operações mobile e online e apostas esportivas.
A MGM Resorts é o maior empregador privado em Nevada, operando dezenas de milhares de quartos de hotel em Las Vegas em seu principal MGM Grand e propriedades como Bellagio, Aria, New York-New York e Mandalay Bay. Também opera resorts na China e em Macau. Emprega 75.000 pessoas nos EUA e no exterior.
As ações do Caesars foram negociadas na quarta-feira a US$ 50,17 por ação, alta de 36 centavos no dia. As ações da MGM estavam cotadas a US$ 38,77, queda de 43 centavos. Espera-se que ambas as empresas divulguem os efeitos dos ataques em relatórios trimestrais no próximo mês à Comissão de Valores Mobiliários.
O ataque à MGM também foi atribuído ao Scattered Spider, um grupo de falantes de inglês também conhecido como Øktapus operando sob uma operação baseada na Rússia chamada ALPHV ou Gato preto.
“Mas há muitos relatórios conflitantes”, disse David Richardson, executivo da empresa de segurança cibernética Lookout. “Você tem o Scattered Spider alegando que eles fizeram as duas coisas em vários fóruns, e o ALPHV, dizendo que o Scattered Spider não estava envolvido com o outro. Mas há muitas evidências técnicas que mostram que existe uma relação entre os dois.”
Lisa Plaggemier, diretora executiva da organização sem fins lucrativos National Cybersecurity Alliance, classificou a decisão da MGM de desligar sistemas vulneráveis para evitar invasões como um passo positivo, mas disse que destacou lacunas de segurança “significativas” e uma necessidade urgente de investimento substancial em treinamento de funcionários e segurança cibernética. O risco, disse ela, é “tempo de inatividade e perdas financeiras”.
“A decisão da Caesars Entertainment de pagar o resgate destacou a falta de confiança e investimento em suas defesas cibernéticas”, disse Plaggemier.
Moody, da UNLV, disse por e-mail que os ataques mostraram que mesmo para empresas bem preparadas ou tecnicamente avançadas, “não é uma questão de se você será atacado, mas de quando será atacado”.
“Qualquer alvo pode ser violado, pois a defesa não pode vencer 100% das vezes”, disse ele. “Não é que a MGM tenha feito ‘mau’ ou tenha sido negligente. Se uma ameaça avançada e persistente, definida por suas habilidades, recursos e tempo aprimorados, atingir você, eles encontrarão uma maneira de acessar o que não deveriam.”