El grupo confirmó entonces en un mensaje en Twitter, que ha borrado desde entonces, que estaba experimentando un apagón en sus servicios de hoteles y casinos debido a un incidente de ciberseguridad.
El problema tuvo múltiples consecuencias entonces, desde la imposibilidad de acceder a reservas y sistemas de los casinos, hasta que los clientes alojados en hoteles tuviesen problemas para abrir las puertas de sus habitaciones. Sus cajeros automáticos dejaron de funcionar, lo mismo que las máquinas tragaperras, y los restaurantes de los hoteles solo aceptaban dinero en metálico. Las webs del grupo también estuvieron inaccesibles durante varias horas.
El grupo cuenta en Las Vegas con resorts y casinos como el Bellagio, Aria, Cosmopolitan, Mandalay Bay, Luxor o MGM Grand; tiene también casinos en otras ciudades de Estados Unidos. Entre ellos están el MGM Springfield en Massachussets o MGM National Harbor y Empire City Casino en Nueva York. Todos se vieron afectados por el ciberataque, reivindicado por el grupo Scattered Spider.
Poco después de registrarse, el grupo abrió una investigación para esclarecer lo sucedido, con la ayuda de varios expertos externos en ciberseguridad. Además, notificaron lo sucedido a las autoridades y tomaron medidas para proteger sus datos y sistemas. Incluso apagaron varios.
Fruto de estas investigaciones, MGM Resorts ha confirmado ya que los atacantes consiguieron hacerse con una cantidad sin especificar de información personal de sus clientes durante el ataque, que al parecer ha sido de ransomware. Además, también han concretado lo que les costó el ataque: 100 millones de dólares. Además, el grupo ha invertido unos 10 millones de dólares en gastos relacionados con el ciberataque. Sobre todo en servicios de consultoría tecnológica, tasas legales y gastos de consejeros externos.
Así figura en los datos remitidos por el grupo a las autoridades, que confirma que la información robada corresponde a clientes que hicieron transacciones con MGM Resorts antes de marzo de 2019. Los datos robados incluyen nombres, datos de contacto, género, fechas de nacimiento y números de carnets de conducir. Además, también consiguieron los números de la Seguridad Social y detalles de pasaportes de un número más reducido de clientes. Los responsables del grupo no creen que hayan logrado obtener contraseñas de clientes ni datos de pagos.
MGM Resorts no ha pagado la petición de rescate de los atacantes, que solicitaron una cantidad desconocida. Sus directivos esperan que su seguro contra ciberataques será suficiente para cubrir el impacto financiero sufrido, pero el alcance total de los costes y los daños sufridos no es todavía definitivo. Sobre todo porque todavía no han conseguido restaurar todos los sistemas que utilizan de cara al público, para lo que todavía les quedan varios días.
No es el primer incidente de seguridad grave que ha sufrido el grupo, ya que el año pasado unos atacantes compartieron los datos de más de 140 millones de sus clientes en Telegram. Entre los datos expuestos estaban sus nombres completos, direcciones postales, números de teléfono, fechas de nacimiento y, en algunos casos, los números de sus pasaportes y carnets de conducir.