Cyberbeveiliging is nog nooit zo belangrijk geweest voor de mondiale gamingindustrie, waarbij recente aanvallen op de Amerikaanse casinogiganten MGM Resorts en Caesars de mondiale krantenkoppen haalden.
Het Singaporese Marina Bay Sands en de toonaangevende industriële leverancier Aristocrat zijn het afgelopen jaar ook het doelwit geweest, terwijl Okada Manila op de Filippijnen in november te kampen had met een mysterieus technisch probleem met zijn IT-systemen.
In dit diepgaande artikel over gaming met een reeks cyberbeveiligingsexperts om meer te leren over moderne cyberaanvallen, waarom de game-industrie een doelwit is geworden en wat bedrijven kunnen doen om veilig te blijven.
Als je ooit het gevoel hebt gehad dat je je leven in een vissenkom leidde, denk dan eens na over de eigenaren van een ongelukkig Noord-Amerikaans casino, bij een beroemd incident dat in 2017 de krantenkoppen haalde nadat het gedetailleerd was beschreven in een rapport van de dreigingsinformatiedienst Darktrace, werd het casino in kwestie niet via zijn IT-systemen gehackt, maar via zijn aquarium.
Door gebruik te maken van een hightech opstelling waarbij de tank met internet was verbonden om automatische voeding en constante temperatuurmonitoring mogelijk te maken, konden hackers het bredere netwerk infiltreren en 10 GB aan gegevens downloaden naar servers in Finland voordat de inbreuk werd ontdekt.
Maar als dat incident als waarschuwing voor de sector diende, lijkt het erop dat er geen gehoor is gegeven aan de waarschuwing.
In september vorig jaar kwamen details naar voren van een groot cyberincident dat meerdere systemen in de Noord-Amerikaanse eigendommen van MGM Resorts International trof, hoewel aanvankelijk werd gemeld dat het incident ertoe had geleid dat duizenden gokautomaten op de casinovloeren van MGM donker waren geworden, werd al snel duidelijk dat alles, van geldautomaten ter plaatse, elektronische betalingssystemen, hotelreserveringssystemen en zelfs hotelsleutelkaarten, niet meer werkte. een direct gevolg van de acties van de hackers of doordat MGM systemen heeft afgesloten om verdere inbreuken te voorkomen.
En MGM was niet de enige: Caesars Entertainment onthulde in de daaropvolgende dagen dat ook het bedrijf een paar weken eerder het slachtoffer was geworden van een cyberaanval.
Vervolgens werd gemeld dat Caesars 15 miljoen dollar losgeld had betaald om te voorkomen dat gegevens zouden lekken, hoewel analisten hierover twijfels hebben geuit en het bedrijf dit nooit heeft bevestigd.
MGM van zijn kant zei in een aanvraag dat het incident het bedrijf ongeveer 100 miljoen dollar aan omzet zou kosten, als de kansspelexploitanten van de wereld voorheen niet opletten, kunt u er zeker van zijn dat ze dit nu opmerken, gezien het toenemende bewijs dat de industrie een belangrijk doelwit is geworden voor internationale cybercriminele groepen.
Aanvallers hebben ontdekt dat casinobedrijven niet altijd de ondoordringbare forten zijn die we in films zien, zegt Gus Fritschie, vice-president van Security Services voor IT-beveiligings- en compliancebedrijf Bulletproof – een dochteronderneming van Gaming Labs International (GLI).
Na het zien van alle fysieke beveiligingscontroles in een casino, zou je denken dat de logische computercontroles net zo sterk zijn, wat het grote publiek echter niet ziet, is wat veel branches teistert; verouderde systemen en software, zwak beleid en procedures, en een gebrek aan buy-in en ondersteuning van de C-suite op het gebied van informatiebeveiliging.
Dit leidt tot netwerken met gaten en kwetsbaarheden waar cybercriminelen misbruik van kunnen maken.
Matthew Chao, voorzitter en CEO van het in Hong Kong genoteerde IT-oplossingenbedrijf BoardWare Intelligence Technology Limited, zegt dat er veel redenen zijn waarom gamingbedrijven doelwitten worden.
Eén daarvan is de waardevolle gegevens die ze verwerken, waaronder persoonlijke informatie en financiële gegevens.
Met deze gegevens kunnen inkomsten worden gegenereerd op de zwarte markt, worden gebruikt voor identiteitsdiefstal of worden gebruikt voor gerichte phishing-aanvallen, legt Chao uit.
Cybercriminelen beschouwen deze instellingen als datarijke omgevingen, waardoor ze aantrekkelijke doelwitten zijn, bovendien genereert de game-industrie aanzienlijke inkomsten en houden casino’s aanzienlijke hoeveelheden contant geld ter plaatse aan.
Cybercriminelen kunnen proberen spelsystemen te doorbreken om de uitkomsten te manipuleren of kwetsbaarheden in financiële transacties te misbruiken, zoals het afromen van creditcardgegevens van gasten of het knoeien met elektronische betalingssystemen.
De laatste tijd hebben cybercriminelen misdaden gepleegd om de aandacht van de media of het publiek te trekken, waardoor ze hacking als een dienst aanbieden en zowel roem als fortuin verwerven, dit maakt casino’s aantrekkelijke doelwitten voor cybercriminelen.
De MGM Resorts-aanval van vorig jaar bleek het werk te zijn van bekende hackergroepen Scattered Spider en ALPHV, die social engineering gebruikten om de verdediging van het bedrijf te infiltreren.
Volgens details die de groepen in de daaropvolgende weken hebben verstrekt, heeft Scattered Spider een imitatie- en vishing-programma geïmplementeerd om toegang te krijgen tot de systemen van MGM: Het identificeren van een MGM-werknemer via LinkedIn en deze vervolgens na te bootsen in een telefoontje naar de IT-helpdesk van MGM waarin zij beweerden ze hadden problemen met het inloggen op hun accounts.
De hackers kregen tijdens een telefoongesprek van tien minuten beheerdersrechten voor de Okta en Azure-systemen van MGM, en de volgende dag – nadat MGM ongebruikelijke activiteit op zijn servers had ontdekt – implementeerde ALPHV ransomware binnen het netwerk.
Volgens Kevin King, CEO van hoteltechnologieleverancier Shiji International, blijkt social engineering – dat tot doel heeft individuen te manipuleren om gevoelige informatie te onthullen of acties uit te voeren die de veiligheid in gevaar kunnen brengen door middel van phishing-e-mails, telefonische oplichting of nabootsing van identiteit – steeds populairder te worden onder hackers. groepen tegenwoordig, vooral met de vooruitgang van generatieve AI.
We kunnen verwachten dat phishing- en social engineering-aanvallen steeds geavanceerder zullen worden, aangepast aan individuele slachtoffers en geautomatiseerd zullen zijn, zegt King.
Deze evolutie zal het waarschijnlijk mogelijk maken dat deze aanvallen op grotere schaal kunnen worden uitgevoerd. Stel je voor dat je wordt gebeld door een familielid in nood, dat je met zijn of haar stem spreekt, dat je persoonlijke gegevens over je kent (mogelijk afkomstig van online bronnen) en dat je dringend om een geldoverboeking vraagt.
Dit scenario is al haalbaar, en het is niet moeilijk om je voor te stellen dat dergelijke tactieken in de toekomst geautomatiseerd zullen worden, IoT-aanvallen zijn relevant in een aantal sectoren, en hotels en casino’s zijn er slechts twee.
In werkelijkheid zijn er echter tientallen wapens in het arsenaal van hackergroepen, waarbij malware, zero-day exploits, insider-bedreigingen en supply chain-aanvallen slechts enkele van de methoden zijn die worden gebruikt om netwerken te infiltreren, afhankelijk van waar kwetsbaarheden worden geïdentificeerd.
Het draaiboek van de bedreigingsactoren evolueert voortdurend en is gevarieerd, waarbij dagelijks nieuwe bedreigingen worden ontwikkeld en gelanceerd, zegt Wickie Fung, Managing Director, Hong Kong & Greater Bay Area bij Palo Alto Networks.
Om een idee te geven van de omvang van cyberdreigingen: ons team detecteert dagelijks 1,5 miljoen unieke bedreigingen en blokkeert nog eens 8,6 miljard bekende aanvallen.
Helaas hebben slechte actoren dezelfde toegang tot geavanceerde technologieën, waaronder kunstmatige intelligentie, machinaal leren en big data-analyse, en automatiseren ze hun aanvallen.
Nu AI-tools steeds vaker tegen lage prijzen beschikbaar komen op het dark web en de opkomst van ransomware-as-a-service-modellen, wordt de toegangsdrempel voor bedreigingsfactoren verlaagd – wat het aantal dergelijke aanvallen kan vergroten.
King merkt ook op dat cybercriminelen hun aanvallen vaak in verschillende fasen uitvoeren, waarbij ze eerst de systemen van een bedrijf infiltreren om persistentie te bewerkstelligen en zich vervolgens een weg banen door andere onderling verbonden systemen binnen het bedrijf.
Als hackers met succes een systeem binnendringen, kunnen ze mogelijk lateraal draaien en bewegen om andere onderling verbonden systemen in gevaar te brengen, wat leidt tot een waterval van verstoringen, legt Nelson Lei, adjunct-directeur van BWZ, uit voor Macau’s BoardWare Information System Limited – een dochteronderneming van Boardware Intelligence Technologie.
Dat is de reden waarom slachtoffers] proactief systemen of diensten kunnen afsluiten als voorzorgsmaatregel om de potentiële veroorzaakte schade te beperken of om de impact van het cyberveiligheidsincident te beperken.
Het is deze interconnectiviteit van applicaties die MGM er uiteindelijk toe dwong om tijdens het incident van vorig jaar zoveel van zijn vastgoedbrede systemen af te sluiten.
Azië heeft in dit opzicht met zijn eigen uitdagingen te maken gehad, waarbij het in de Filipijnen geïntegreerde vakantieoord Okada Manila in november de overgrote meerderheid van zijn speelautomaten voor het grootste deel van een week heeft gesloten.
Okada heeft niet onthuld of de schuld al dan niet aan een cyberaanval te wijten was – vertelde IAG destijds dat het technische problemen ondervond met zijn informatietechnologiesystemen – maar net als andere recente incidenten infiltreerden deze problemen ook in verschillende andere operationele systemen in de IR.
Het Singaporese Marina Bay Sands was meer openhartig toen het afgelopen november zijn eigen gegevensbeveiligingsincident onthulde, waarbij een onbekende derde partij toegang kreeg tot de klantgegevens van ongeveer 665.000 leden van het beloningsprogramma.
Hoewel MBS zei dat er geen bewijs was dat gegevens waren gebruikt om getroffen klanten schade toe te brengen, voegde het bedrijf eraan toe dat het samenwerkte met een toonaangevend extern cyberbeveiligingsbedrijf en actie had ondernomen om onze systemen verder te versterken en gegevens te beschermen.
Leveranciers uit de sector zijn ook niet immuun geweest, aangezien de Australische kansspel-automaatgigant Aristocrat vorig jaar het slachtoffer werd van een cyberaanval waarbij de persoonlijke informatie van het personeel werd geëxtraheerd en in sommige gevallen werd gepubliceerd.
Aristocrat onthulde in augustus dat bij de aanval een hacker misbruik maakte van een kwetsbaarheid in de externe software voor het delen van bestanden, MOVEit, die door het bedrijf wordt gebruikt.
Ironisch genoeg was een proef met cashless gaming-technologie, uitgevoerd door Aristocrat in een club ten noorden van Sydney, slechts enkele weken eerder beëindigd nadat een cyberaanval ervoor zorgde dat de gegevens van sommige deelnemers in gevaar kwamen.
Later bleek dat Aristocrat slechts een van de ruim 650 organisaties was die geïnfiltreerd waren via de MOVEit-software, die het doelwit was van ransomwaregroep Clop door misbruik te maken van een zero-day-kwetsbaarheid.
Clop verklaarde aanvankelijk dat het gegevens van deze organisaties zou gaan publiceren als ze niet zouden onderhandelen over losgeldbetalingen, hoewel het onduidelijk is wat er van deze dreiging is geworden.
Toch roept het de vraag op hoe bedrijven die zijn gehackt, moeten reageren op losgeld eisen en wat hen überhaupt zou kunnen motiveren om te betalen als deskundig advies zegt dat niet te doen.
Volgens een onderzoek uit november 2023 in opdracht van adviesbureau McGrathNicol en uitgevoerd door marktonderzoeksbureau YouGov, heeft 73% van de Australische bedrijven die de afgelopen vijf jaar het slachtoffer zijn geworden van een cyberaanval ervoor gekozen om losgeld te betalen, terwijl 70% van de ondervraagden die dat wel hadden gedaan die niet waren aangevallen, zeiden dat ze bereid zouden zijn te betalen.
Van degenen die losgeld hadden betaald, deed 37% dit binnen de eerste 24 uur en 74% binnen 48 uur.
Bedrijven betalen nog steeds massaal losgeld, en wel snel, om negatieve reacties van klanten, partners en belanghebbenden te voorkomen, het wordt nu meegenomen als kosten voor het zakendoen, aldus McGrathNicol Advisory Cyber Partner Darren Hopkins bij het vrijgeven van de bevindingen.
Uit het onderzoek blijkt dat leidinggevenden empathischer en minder hardvochtig worden als het gaat om het melden van deze aanvallen aan de autoriteiten, maar zonder betere samenwerking en kennisdeling wordt ons vermogen om ransomware-aanvallen te voorkomen ondermijnd.
Deze informatie kan bedrijfsleiders helpen weloverwogen beslissingen te nemen in plaats van overhaast een duur en mogelijk illegaal losgeld te betalen.
Een ander rapport van Unit 42, de dreigingsinformatieafdeling van Palo Alto Networks, stelt dat de wereldwijde vraag naar ransomware in 2022 varieerde van slechts 3.000 dollar tot wel 50 miljoen dollar, terwijl de daadwerkelijk betaalde bedragen opliepen tot 7 miljoen dollar.
We moedigen organisaties aan alternatieven te overwegen voordat ze losgeld betalen, zegt Palo Alto’s Fung.
Het wordt aanbevolen om de nadruk te leggen op preventieve maatregelen, robuuste back-ups en incidentresponsmogelijkheden om de impact van ransomware-aanvallen te minimaliseren.
Natuurlijk merkt King op dat de tactieken die door hackers worden gebruikt specifiek zijn ontworpen om betalingen aan te moedigen uit angst voor verdere aanvallen, terwijl het vermogen van een organisatie om een groot bedrag te betalen haar in de eerste plaats ook een aantrekkelijker doelwit kan maken.
Criminelen maken vaak gebruik van dubbele afpersingstactieken, waarbij ze betaling eisen, niet alleen om gegevens te ontsleutelen, maar ook om te voorkomen dat deze online worden vrijgegeven, zegt de CEO van Shiji International.
Deze strategie vergroot de kans op betaling, omdat bedrijven met back-ups die versleutelde gegevens kunnen herstellen nog steeds worden gestimuleerd om te betalen om een datalek te voorkomen.
De bedragen van het losgeld lopen sterk uiteen, variërend van duizenden tot miljoenen dollars, vaak hangt het gevraagde bedrag samen met de inkomsten van het slachtoffer; hogere inkomsten leiden vaak tot een hoger losgeld.
In sommige gevallen baseren ransomwaregroepen hun eisen op de cyberverzekeringsdekking van het slachtoffer, waarbij ze een losgeldbedrag vaststellen dat deze dekking weerspiegelt.
Uit rapporten blijkt dat de gemiddelde ransomware-betaling ongeveer 350.000 dollar bedraagt, bovendien krijgt meer dan 30% van de ransomware-slachtoffers te maken met herhaalde aanvallen.
Deze herhaling kan te wijten zijn aan het feit dat meerdere ransomwarebendes zich op dezelfde slachtoffers richten en dezelfde kwetsbaarheden misbruiken.
Hoewel ransomware-groepen vrijwel overal ter wereld kunnen opereren, merkt King op dat ze vaker voorkomen in landen die worden beïnvloed door factoren als ontoereikende cybercriminaliteitswetten, een tekort aan internationale samenwerking op het gebied van wetshandhaving en economische omstandigheden waarin het deelnemen aan dergelijke activiteiten lastig kan zijn, lucratiever dan traditionele werkgelegenheid.
Oost-Europa, met name Rusland en de buurlanden, is een hotspot, en groepen zullen vaak samenwerken, waarbij elk zijn specifieke specialiteit inzet, of het nu gaat om het ontwikkelen van malware het witwassen van geld, het verhandelen van gestolen inloggegevens of andere activiteiten.
Dit is de reden waarom het belangrijker dan ooit is, benadrukt Chao, dat casino-exploitanten ervoor zorgen dat ze over een sterk, alomvattend casinobeveiligingssysteem beschikken dat verschillende beschermingslagen biedt om de veiligheid en integriteit van activiteiten, activa en klantinformatie te garanderen.
Dit omvat fysieke beveiliging, netwerkbeveiliging, gegevensbescherming, surveillance en monitoring, fraudedetectie en preventie, toegangscontrole, training in beveiligingsbewustzijn, reactie op en herstel van incidenten, en regelgevingskwesties en compliance, zegt hij.
Natuurlijk is een professionele en ervaren samenwerking ook heel belangrijk, verschillende organisaties hebben verschillende culturele achtergronden en infrastructuur, dus het benadrukt het belang van het hebben van een goed gedefinieerd incident respons-playbook.
Een incident respons-playbook dient als een proactieve gids die de stappen, rollen en verantwoordelijkheden schetst die nodig zijn voor het reageren op en het beperken van cyberveiligheidsincidenten.
Het hebben van een draaiboek voor incidentrespons stelt een organisatie in staat snel en efficiënt te handelen: het incidentresponsteam kan snel vooraf gedefinieerde procedures activeren en volgen, waardoor de responstijden worden geminimaliseerd en een efficiëntere beheersing en mitigatie van het incident mogelijk wordt gemaakt.
Fung voegt hieraan toe: Cyberbeveiliging is een zakelijk probleem, geen IT-probleem, de uitvoering moet van het hoogste niveau naar iedereen in de organisatie gaan.
Het begint allemaal met de juiste mindset., hoewel een IR-manager misschien geen IT-expert is, moet hij wel een basiskennis hebben van cyberbeveiligingsprincipes en best practices, het is belangrijk om cyberbeveiliging prioriteit te geven als een strategisch bedrijfsrisico en nauw samen te werken met IT- en beveiligingsteams.
Het regelmatig bijwerken van kennis over opkomende bedreigingen, het bevorderen van bewustmaking-trainingen voor medewerkers en het garanderen van de implementatie van de beste beveiligingscontroles zijn belangrijke verantwoordelijkheden.
Fritschie van Bulletproof legt de verantwoordelijkheid ook bij leveranciers uit de industrie en merkt op dat het in hun belang is om ervoor te zorgen dat hun producten, zowel op het land als online, zo sterk en veilig mogelijk zijn.
Fritschie haalt het voorbeeld uit 2014 aan van een Russische bende die zich richtte op een zwak punt in een gokautomaat die was vervaardigd door een toonaangevende leverancier uit de industrie om uitbetalingen te manipuleren.
Hoe voorkom je dit?
Door beveiliging opzettelijk te integreren in de levenscyclus van softwareontwikkeling, voegt hij eraan toe.
We zien dat steeds meer leveranciers de verantwoordelijkheid op zich nemen om vooraf beveiligingstests uit te voeren die verder gaan dan wat vereist is voor regelgevingsdoeleinden, ze hebben stappen ondernomen om hun eigen interne beveiligingsteams te versterken.
Uiteindelijk zijn casino’s en andere kansspelbedrijven door hun aard aantrekkelijke doelwitten voor cybercriminelen, omdat het winstrijke omgevingen zijn die aanzienlijke hoeveelheden gegevens bevatten en waarvan de activiteiten ernstig kunnen worden beïnvloed door een datalek.
Als zodanig lijkt het waarschijnlijk dat de game-industrie in het criminele vizier zal blijven, waardoor het belangrijker dan ooit is om de veiligheidsverdediging te versterken, de onaangename waarheid is dat geen enkel bedrijf 100% veilig kan zijn, zegt Fritschie.
Wat we op het gebied van gaming willen doen, is de lat hoger leggen en strengere controles en testvereisten implementeren om de beveiliging vooruit te helpen en als het huis een effectief alarm, goede verlichting, camera’s en gesloten deuren heeft, zal de dief, net als bij inbraak, waarschijnlijk een gemakkelijker slachtoffer worden en hetzelfde geldt bij gamen.
We moeten de lat hoger leggen, zodat aanvallers overstappen naar een andere branche, bedrijf of geheel andere branche, je wilt niet gokken met beveiliging, bewaar dat maar voor de craps-tafel !
