MGM Resorts anunciou que fechará 12 de seus hotéis e cassinos em Las Vegas e arredores. O motivo: um ataque de ransomware de magnitude desconhecida em servidores contendo uma mina de ouro de dados de clientes. A MGM relata que conseguiu detectar a violação numa fase bastante precoce e notificar as autoridades e polícia, mas os danos sofridos ainda não foram avaliados.
A primeira linha de defesa em tal situação seria desativar os canais comprometidos para evitar maiores danos. A MGM, com razão, desligou os seus sistemas e continuará a fazê-lo num futuro próximo, até que as autoridades competentes informem o contrário. A empresa anunciou que iniciou uma investigação oportuna com agências terceirizadas de segurança cibernética, mas até que ponto isso ajudará?
Tudo em uma avaliação de impacto
O grupo MGM de hotéis e cassinos inclui algumas das propriedades mais icônicas de Las Vegas. O Bellagio, conhecido por sua atraente exibição de fontes, e o Mandalay Bay, um dos cassinos mais icônicos de Las Vegas, estão entre as 12 propriedades da MGM afetadas. Cerca de 46% da receita global da MGM é obtida em seu segmento de Las Vegas. Isso equivale a cerca de 8 milhões de dólares em receita por dia.
Especialistas em segurança cibernética e no setor de cassinos sugeriram que a MGM poderia acumular milhões de dólares em perdas por dia. Somente suas máquinas caça-níqueis são responsáveis por vários milhões em receita diária. Imagine que você é um turista que economizou muito e chegou aqui para ter a “experiência Vegas” completa, apenas para entrar em um hotel que não está funcionando ou que está funcionando parcialmente, com o benefício adicional de ter seus dados pessoais comprometidos. Esse não é o tipo de impressão que um hotel gostaria de causar, cujos dedos estão a apenas alguns centímetros de deixar uma crítica negativa. Isso se soma ao custo de ter que pagar o resgate ao invasor, que pode facilmente chegar a 10 milhões de dólares ou mais.
Depois de pagar esse resgate, não se pode dizer com certeza se os dados serão descriptografados ou se o invasor fará tudo e exigirá uma quantia maior. Na eventualidade de o hotel decidir renunciar aos dados reféns e não pagar o resgate, a infraestrutura de rede seria anulada e, novamente, alguns milhões de dólares de restauração seriam necessários. Mas a pior perda de todas é a violação dos dados do cliente, que afeta negativamente a confiança e, por sua vez, afeta diretamente os negócios.
Jogando os dados na análise da causa raiz
Como em qualquer boa investigação, o próximo passo lógico seria seguir as pistas e identificar o criminoso. Quando se trata de ataques de ransomware, a resposta provavelmente está bem na sua tela. O agente da ameaça pode ser um indivíduo, um grupo ou até mesmo um provedor de Ransomware as a Service (RaaS).
RaaS – pense em SaaS, mas nefasto.
Os provedores de serviços de ransomware equipam os afiliados com pacotes e kits, que geralmente consistem em uma variante personalizada de um código de ransomware, juntamente com suporte 24 horas por dia, 7 dias por semana e outros benefícios.
Não procure mais do que a dark web para obter ofertas e descontos interessantes. Você pode até encontrar fóruns e quadros de mensagens em que usuários anteriores podem deixar comentários e avaliar os serviços que utilizaram. Esses kits podem custar de US$ 50 a alguns milhares de dólares, mas o retorno sobre o investimento é enorme.
A MGM informou que o FBI foi informado sobre esse ataque e que a empresa está tentando encontrar uma maneira de negociar ou neutralizar os agentes da ameaça. Não foi revelado muito mais até o momento. Historicamente, o FBI tem se envolvido na investigação de violações semelhantes, como quando um ataque cibernético ao Marriott Hotels comprometeu mais de 500 milhões de registros em 2018. Se o mesmo acontecer com a MGM, informações de identificação pessoal muito confidenciais, como nomes, e-mails, números de telefone, dados bancários e detalhes de passaportes, poderão ser vazados, o que teria implicações graves para a marca.
Duplicando a aposta no controle de danos
Ao ser submetida a um abalo tão severo, a MGM Resorts precisa ter uma estratégia adequada de relações públicas, contingência de TI e, acima de tudo, uma estratégia jurídica para se recuperar e fazer uma espécie de retorno. As ramificações internacionais das violações de dados são bastante severas, especialmente na União Europeia, onde o GDPR rege com mão de ferro.
O Gabinete do Comissário de Informações do Reino Unido, em sua infinita benevolência, reduziu as multas da Marriott Hotels por sua violação de dados em 2018, de robustos US$ 123 milhões para apenas US$ 23,8 milhões – multas que o grupo MGM poderia estar enfrentando se fosse acusado.
Há pouca dúvida de que o grupo hoteleiro pagará o resgate para evitar as multas e os pesadelos de relações públicas que vêm com um ataque como esse, mas, na hipótese de ser aconselhado a não fazer isso, sua melhor aposta é recorrer a um advogado, manter o dinheiro pronto e contratar a melhor agência de relações públicas que puder encontrar.
Mas, acima de tudo, a vulnerabilidade deve receber a maior importância, abordando as redes onde os dados são armazenados, os canais pelos quais os dados passam e os funcionários que lidam com esses dados.
A violação da Marriott em 2018 provavelmente ocorreu devido a um ataque de falsificação de e-mail ou phishing em um funcionário felizmente ignorante. Ao se envolver com esses e-mails, o funcionário, sem saber, permite que o invasor instale seu malware no sistema corporativo, dando-lhe acesso à rede corporativa e, finalmente, aos dados.
O treinamento em proteção e privacidade de dados é importante para todos os funcionários
Deparamos com o sentimento acima com tanta frequência que já se tornou clichê até mesmo dizê-lo ou escrever sobre ele. Nada poderia estar mais longe da realidade – é verdade que tudo o que é necessário para causar um desastre multimilionário é um único funcionário clicar no botão errado, e tudo o que é preciso para evitar isso é conscientização e educação.
Ter uma forte infraestrutura de segurança cibernética é um dado adquirido, especialmente com tantas políticas de privacidade de dados em vigor que podem levá-lo à falência em um segundo, mesmo que seja por um pequeno descuido. Não deixe que seus funcionários sejam esse descuido. Por mais que você invista em uma infraestrutura de TI de primeira linha, invista também no treinamento e na conscientização dos funcionários. Dessa forma, podemos garantir que, no final, a casa sempre vencerá.
Artigo original: Gambling away your data: What we know about the Las Vegas cyberattacks