IGT sta esaminando una richiesta del gruppo ransomware Qilin, che afferma di aver rubato dati dai sistemi interni dell’azienda. Il gruppo ha pubblicato il nome di IGT sul sito di fuga di notizie e ha dichiarato di aver ottenuto circa 10GB di materiale contenente circa 21.000 file. IGT fornisce tecnologie di gioco digitale, scommesse sportive e pagamento a casinò e operatori online in oltre cento paesi. L’azienda non ha confermato l’intrusione né ha commentato se gli aggressori l’abbiano contattata direttamente. Gli analisti affermano che l’etichetta “pubblicato” usata da Qilin spesso indica che una vittima non ha avuto rapporti con il gruppo.
Secondo la rivendicazione, i file esposti riguardano sistemi aziendali che supportano contenuti di gioco, piattaforme di lotteria e scommesse sportive, strumenti di gestione dei casinò e operazioni di pagamento. Questi sistemi sono utilizzati da casinò terrestri e località online che si affidano a IGT per software, instradamento delle transazioni e funzionalità di coinvolgimento dei giocatori. I ricercatori di sicurezza che hanno esaminato i campioni hanno notato riferimenti a file di configurazione interni e documentazione operativa. Hanno detto che il materiale sembra provenire dalle operazioni aziendali piuttosto che da servizi rivolti al consumatore. Non ci sono indicazioni che ambienti di produzione, dati di carte di pagamento o account giocatori siano stati interrotti.
Qilin gestisce un servizio ransomware che consente agli attaccanti affiliati di effettuare intrusioni e condividere i profitti. Il gruppo utilizza spesso un modello di doppia estorsione in cui i dati vengono raccolti prima che le vittime vengano costrette a pagare. Se il pagamento viene rifiutato, i dati vengono pubblicati. Il gruppo ha preso di mira aziende nei settori manifatturiero, sanitario, logistico e dei servizi finanziari nell’ultimo anno. Gli specialisti della sicurezza affermano che il suo focus su dati tecnici di alto valore piuttosto che su interruzioni immediate si allinea con una tendenza più ampia nell’attività ransomware.
L’incidente evidenzia il potenziale impatto sulle organizzazioni che dipendono da IGT per il gaming e la tecnologia finanziaria. I sistemi IGT si integrano con software da casinò, piattaforme di scommesse online e sistemi di pagamento che elaborano grandi volumi di transazioni in denaro reale. Qualsiasi violazione confermata che coinvolga dati di configurazione interni o parametri di sistema potrebbe sollevare preoccupazioni per i partner che dipendono da questi servizi. Gli analisti del settore raccomandano alle organizzazioni a valle di esaminare l’accesso dei fornitori, monitorare i sistemi collegati all’IGT per comportamenti insoliti e verificare eventuali cambiamenti imprevisti nel flusso dei dati.
IGT non ha rilasciato informazioni dettagliate sulla sua indagine. Si prevede che l’azienda esamini i log di accesso, verifichi se sono stati prelevati dati e determinerà l’ambito dei sistemi interessati. Gli investigatori valutano tipicamente se gli attaccanti hanno stabilito persistenza all’interno delle reti o tentato di entrare negli ambienti clienti. I consulenti per la sicurezza raccomandano alle organizzazioni del settore del gioco di rivedere le politiche di segmentazione e di rafforzare il monitoraggio dei sistemi che ospitano dati operativi sensibili. Sottolineano inoltre che le aziende che forniscono servizi digitali ad alto volume devono mantenere controlli di autenticazione rigorosi e mantenere una chiara supervisione del traffico in uscita.